Ransomware blu
Nel panorama digitale odierno, avere una protezione adeguata contro le minacce malware non è mai stato così cruciale. Il ransomware, un tipo di malware particolarmente potente, rappresenta un rischio significativo crittografando i dati degli utenti e chiedendo un riscatto per la loro restituzione. Una di queste minacce, il Blue Ransomware, è emersa di recente, prendendo di mira individui e organizzazioni. Comprendere come funziona questo ransomware e come proteggersi da esso è essenziale per mantenere l'integrità dei dati e la sicurezza dei sistemi.
Sommario
Capire il Ransomware Blu
I ricercatori di sicurezza informatica hanno identificato il Blue Ransomware come una variante della famigerata famiglia Phobos. Questo software minaccioso crittografa i file sui dispositivi infetti, rinominandoli aggiungendo l'ID della vittima, l'indirizzo e-mail givebackdata@mail.ru e l'estensione '.blue'. Ad esempio, '1.doc' diventa '1.doc.id[9ECFA84E-2850].[givebackdata@mail.ru].blue' e '2.pdf' cambia in '2.pdf.id[9ECFA84E-2850].[givebackdata@mail.ru].blue'.
La nota di riscatto della minaccia
Una volta che il Blue Ransomware ha crittografato i file, crea i file 'info.hta' e 'info.txt' contenenti una nota di riscatto. Questa nota informa le vittime della crittografia e le istruisce a contattare gli aggressori tramite l'indirizzo e-mail fornito con il loro ID univoco nella riga dell'oggetto. Alle vittime viene consigliato di pagare un riscatto in Bitcoin per ricevere uno strumento di decrittazione, con un costo che dipende dalla velocità della loro risposta. Inoltre, le vittime sono messe in guardia dal rinominare i file crittografati o dall'utilizzare strumenti di decrittazione di terze parti, poiché ciò potrebbe comportare la perdita di dati o un aumento dei costi di decrittazione.
Come funziona il Ransomware Blu
Il Blue Ransomware crittografa i file archiviati sia localmente che su condivisioni di rete, disabilita il firewall di sistema ed elimina le Shadow Volume Copies per impedire un facile ripristino. Garantisce la persistenza copiando se stesso nella directory '%LOCALAPPDATA%' e registrandosi con specifiche chiavi Run. Inoltre, raccoglie dati sulla posizione e può escludere posizioni predeterminate dai suoi attacchi, rendendolo una minaccia versatile e persistente.
Metodi di consegna
I ransomware della famiglia Phobos , tra cui Blue, vengono spesso distribuiti tramite servizi Remote Desktop Protocol (RDP) vulnerabili. Gli aggressori in genere utilizzano attacchi brute force e dictionary su credenziali di account gestite male. Altri metodi di distribuzione comuni includono e-mail fraudolente con allegati o link infetti, tattiche di supporto tecnico e sfruttamento di vulnerabilità in software obsoleti. Inoltre, i criminali informatici possono diffondere i ransomware tramite pubblicità dannose, siti Web compromessi o ingannevoli, reti peer-to-peer (P2P), downloader di terze parti e unità USB infette.
Rafforzare la sicurezza: come difendersi dal ransomware
- Backup regolari : eseguire regolarmente il backup dei dati è una delle difese più efficaci contro il ransomware. Assicurati che i backup siano archiviati offline o su una rete separata per evitare qualsiasi possibilità che vengano compromessi durante un attacco.
- Password forti e autenticazione multifattoriale : crea password forti e uniche per tutti i tuoi account. Abilita l'autenticazione multifattoriale (MFA) ove possibile. In questo modo si riducono significativamente i rischi di accesso non autorizzato tramite attacchi brute force o a dizionario.
- Mantieni il software aggiornato " Aggiorna regolarmente tutti i software, inclusi programmi e sistemi operativi, per correggere le vulnerabilità che i criminali informatici potrebbero sfruttare. Abilita gli aggiornamenti automatici per garantire che tu sia sempre protetto con le patch di sicurezza più recenti.
- Disabilita servizi non necessari : disabilita o limita l'uso di RDP e altri servizi remoti se non sono essenziali. Se RDP è necessario, proteggilo con password complesse, MFA e limitando l'accesso a indirizzi IP specifici.
- Istruisci e forma gli utenti : istruisci gli utenti sui pericoli delle e-mail di phishing, degli allegati dannosi e dei link ingannevoli. Una formazione regolare aiuta gli utenti a riconoscere ed evitare potenziali minacce.
- Utilizza soluzioni di sicurezza robuste : implementa soluzioni di sicurezza complete, tra cui protezione anti-malware e firewall. Questi dispositivi possono rilevare e bloccare attività dannose prima che compromettano il tuo sistema.
Conclusione: la vigilanza è fondamentale
L'emergere del Blue Ransomware evidenzia la minaccia in continua evoluzione e persistente degli attacchi ransomware. Comprendendo come funziona questo malware e implementando misure di sicurezza robuste, gli utenti possono ridurre significativamente il rischio di cadere vittime di questi schemi dannosi. Resta vigile, tieni aggiornati i tuoi sistemi ed esegui sempre il backup dei tuoi dati per proteggerti dalle minacce ransomware.
La richiesta di riscatto inviata dal Blue Ransomware recita:
'All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail givebackdata@mail.ru
Write this ID in the title of your message -
In case of no answer in 24 hours write us to this e-mail:getmydata@inbox.ru
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.
Free decryption as guarantee
Before paying you can send us up to 5 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
hxxps://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.'
