HuiVJope Ransomware

Tra gli ultimi scenari di ransomware aggiunti c'è HuiVJope Ransomware, una variante minacciosa appartenente alla famigerata famiglia Phobos Ransomware . HuiVJope si distingue aggiungendo un'estensione di file univoca ai file delle vittime crittografate, in genere nel formato ".HuiVJope" seguito da un numero variabile. Questa personalizzazione aggiunge un livello di complessità agli sforzi di recupero dei file, poiché alle vittime viene lasciato un inconfondibile indicatore di compromissione.

La richiesta di riscatto e i canali di comunicazione

Dopo aver crittografato correttamente i file, HuiVJope invia una richiesta di riscatto denominata "info.txt" o "info.hta", delineando i termini per il recupero e il pagamento dei dati. Gli aggressori forniscono informazioni di contatto per la comunicazione, sfruttando l'handle di Telegram "@GROUNDINGCONDUCTOR" e l'indirizzo email "huivjope@tutanota.com". Questi canali fungono da mezzo principale con cui le vittime possono negoziare il riscatto e potenzialmente riottenere l’accesso ai propri dati compromessi.

HuiVJope utilizza un approccio articolato per paralizzare le difese del sistema preso di mira. Il ransomware è progettato per disabilitare il firewall, un componente critico dell'infrastruttura di sicurezza di un sistema. Neutralizzando questo meccanismo di difesa primaria, HuiVJope garantisce un processo di infiltrazione ed esecuzione più fluido.

L’eliminazione delle vie di recupero dati

Per massimizzare l'impatto del suo attacco, HuiVJope adotta misure strategiche per eliminare potenziali strade per il recupero dei dati. Il ransomware prende di mira le copie shadow del volume, una funzionalità che consente agli utenti di ripristinare versioni precedenti dei file. Eliminando queste copie ombra, HuiVJope stringe ulteriormente la presa sui dati della vittima, lasciando loro limitate opzioni di recupero.

Sfruttare le vulnerabilità nel protocollo RDP (Remote Desktop Protocol)

HuiVJope è particolarmente abile nello sfruttare le vulnerabilità nei servizi Remote Desktop Protocol (RDP), un metodo standard per accedere e gestire i sistemi remoti. Il ransomware ottiene l'accesso non autorizzato impiegando forza bruta e attacchi con dizionario su credenziali di account mal gestiti associati ai servizi RDP. Questo metodo consente a HuiVJope di infiltrarsi nei sistemi e avviare il processo di crittografia distruttiva.

Meccanismi di persistenza e raccolta dati

Al di là del suo impatto immediato, HuiVJope possiede meccanismi per persistere nel sistema infetto, garantendo una presenza duratura. Questa persistenza consente al ransomware di mantenere il controllo sul sistema compromesso e potenzialmente lanciare attacchi successivi. Inoltre, HuiVJope non si concentra esclusivamente sulla crittografia; mostra anche capacità di raccolta dati. Il ransomware ha la capacità di raccogliere dati sulla posizione, consentendo potenzialmente agli aggressori di prendere di mira regioni geografiche specifiche. In particolare, può escludere località predefinite dalla raccolta dati, suggerendo un livello di sofisticazione nella sua strategia di targeting.

L’emergere del ransomware HuiVJope sottolinea la natura in evoluzione e sofisticata delle minacce informatiche. Le organizzazioni e gli individui devono dare priorità a solide pratiche di sicurezza informatica, inclusi aggiornamenti software regolari, politiche di password complesse e informazioni sui dipendenti su tattiche di phishing e ingegneria sociale. Inoltre, il mantenimento dei backup offline rimane una difesa cruciale contro la crescente minaccia di attacchi ransomware. Poiché il panorama della sicurezza informatica continua ad evolversi, un approccio di difesa proattivo e su più livelli è essenziale per mitigare i rischi posti da entità minacciose come HuiVJope.

Ecco il messaggio di riscatto HuiVJope Ransomware:

'!! ATTENZIONE!!!
La tua rete è stata violata e i file sono crittografati.
Insieme ai dati crittografati abbiamo scaricato anche altre informazioni riservate: dati dei vostri dipendenti, clienti, partner, nonché documentazione contabile e altra documentazione interna della vostra azienda.
Informazioni sui dati
Tutti i dati vengono archiviati fino al momento del pagamento.
Dopo il pagamento ti forniremo i programmi per la decrittazione e cancelleremo i tuoi dati
Non vogliamo fare qualcosa di male alla tua azienda, sono solo affari (la nostra reputazione è il nostro denaro!)
Se rifiuti di negoziare con noi (per qualsiasi motivo) tutti i tuoi dati saranno messi in vendita.
Cosa dovrai affrontare se i tuoi dati finiscono sul mercato nero:
Le informazioni personali dei tuoi dipendenti e clienti potrebbero essere utilizzate per ottenere un prestito o acquisti nei negozi online.
Potresti essere citato in giudizio dai clienti della tua azienda per aver divulgato informazioni riservate.
Dopo che altri hacker ottengono dati personali sui tuoi dipendenti, alla tua azienda verrà applicato l'ingegneria sociale e gli attacchi successivi non potranno che intensificarsi.
Le coordinate bancarie e i passaporti possono essere utilizzati per creare conti bancari e portafogli online attraverso i quali verrà riciclato il denaro criminale.
Perderai per sempre la reputazione.
Sarai soggetto a enormi multe da parte del governo.
Puoi saperne di più sulla responsabilità per la perdita di dati qui: hxxps://en.wikipedia.org/wiki/General_Data_Protection_Regulation o qui hxxps://gdpr-info.eu
Tribunali, multe e l'impossibilità di utilizzare file importanti ti porteranno a perdite enormi. Le conseguenze di ciò saranno irreversibili per te.
Contattare la polizia non ti salverà da queste conseguenze e la perdita di dati non farà altro che peggiorare la tua situazione.
Come contattarci
Scrivici alle mail: HuiVJope@tutanota.com
Puoi contattare il nostro operatore online in telegram: @GROUNDINGCONDUCTOR (ATTENZIONE AI FALSI)
Scarica il messenger (Sessione) hxxps://getsession.org in messenger:ID"05bc5e20c9c6fbfd9a58bfa222cecd4bbf9b5cf4e1ecde84a0b8b3de23ce8e144e"
Scrivi questo ID nel titolo del tuo messaggio 9ECFA84E-3511
SE CI CONTATTACI ENTRO LE PRIME 6 ore e chiudiamo l'affare in 24 ore, IL PREZZO SARÀ SOLO DEL 30%.
(il tempo è denaro per entrambi, se ti prenderai cura del nostro tempo, noi faremo lo stesso, ci occuperemo del prezzo e il processo di decrittazione sarà fatto MOLTO VELOCEMENTE)
TUTTI I DATI SCARICATI VERRANNO CANCELLATI dopo il pagamento.
Cosa non fare e raccomandazione
Puoi uscire da questa situazione con perdite minime (La nostra reputazione è il nostro denaro!) !!! Per fare ciò è necessario osservare rigorosamente le seguenti regole:
NON modificare, NON rinominare, NON copiare, NON spostare alcun file. Tali azioni potrebbero DANNEGGIARLI e la decrittazione sarà impossibile.
NON utilizzare software di decrittazione pubblico o di terze parti, potrebbe anche DANNEGGIARE i file.
NON spegnere o riavviare il sistema perché ciò potrebbe DANNEGGIARE i file.
NON assumere negoziatori di terze parti (recupero/polizia, ecc.). È necessario contattarci il prima possibile e avviare le negoziazioni.
Puoi inviarci 1-2 piccoli file di dati non di valore per il test, li decodificheremo e te li rispediremo.
Dopo il pagamento non avremo bisogno di più di 2 ore per decrittografare tutti i tuoi dati. Ti supporteremo fino al completamento della decrittazione! ! ! (La nostra reputazione è il nostro denaro!)'