Ransomware RDP (Caos)

Il ransomware è uno dei tipi di malware più minacciosi e dirompenti, con il potenziale di causare danni significativi sia ai singoli utenti che alle organizzazioni. Una volta installato su un sistema, il ransomware crittografa i dati critici, tenendoli in ostaggio fino al pagamento di un riscatto. In questa era digitale, in cui i nostri dispositivi contengono grandi quantità di dati sensibili e preziosi, proteggersi dalle infezioni da ransomware non è solo importante, è essenziale. Uno di questi ceppi, il ransomware RDP (Chaos), rappresenta una minaccia persistente in grado di bloccare gli utenti dai loro dati e richiedere un pagamento in cambio di uno strumento di decrittazione.

Scopriamo come funziona questo ransomware, i metodi loschi utilizzati per diffonderlo e come proteggersi al meglio per non diventarne vittima.

Che cos’è il ransomware RDP (Chaos)?

Il ransomware RDP (Chaos) fa parte della famigerata famiglia di ransomware Chaos . Questo programma non sicuro crittografa i dati degli utenti, aggiungendo l'estensione '.encrypted' ai file interessati. Ad esempio, una foto denominata 1.jpg diventa 1.jpg.encrypted dopo l'attacco. Una volta completato il processo di crittografia, il malware cambia lo sfondo del desktop della vittima e rilascia una richiesta di riscatto in un file denominato ' r ead_it.txt'. La nota informa l'utente che l'unico modo per recuperare i propri file è pagare 50 USD in criptovalute, come Bitcoin, Litecoin, Ethereum o Solana.

Ciò che rende questo ransomware particolarmente dannoso è la sua efficienza nel rendere inaccessibili i file degli utenti e la richiesta di criptovaluta, che rende quasi impossibile tracciare e recuperare i pagamenti.

Tattiche di distribuzione intrusive

I ransomware, inclusa la variante RDP (Chaos), spesso si infiltrano nei dispositivi tramite diversi metodi subdoli e discutibili. Sebbene possa sembrare che un'infezione richieda un download sconsiderato, la realtà è che anche gli utenti più cauti possono essere ingannati. Ecco alcune delle tecniche più comuni impiegate:

1. Sfruttamento delle vulnerabilità del Remote Desktop Protocol (RDP): gli aggressori prendono spesso di mira i dispositivi che hanno il Remote Desktop Protocol (RDP) abilitato, soprattutto se sono configurati male o hanno password deboli. Il protocollo RDP è spesso utilizzato dalle organizzazioni per consentire l'accesso remoto ai sistemi, ma senza misure di sicurezza adeguate, diventa un gateway per gli aggressori per diffondere il ransomware. Il protocollo RDP (Chaos) può forzare credenziali deboli o sfruttare vulnerabilità in sistemi non patchati per ottenere l'accesso e installare il ransomware.

• Email di phishing: uno dei modi più comuni in cui si diffonde il ransomware è tramite campagne di phishing. Gli utenti possono ricevere email apparentemente legittime con allegati o link che, una volta aperti, attivano l'installazione del ransomware. I criminali informatici dietro RDP (Chaos) possono usare questo metodo per distribuire il loro malware, mascherando il payload in file denominati fatture, offerte di lavoro o persino notifiche di consegna.

• Pubblicità fraudolente (Malvertising): un altro canale di distribuzione riguarda le pubblicità fraudolente. Gli utenti ignari potrebbero cliccare su un annuncio apparentemente innocuo, che li reindirizza a un sito Web compromesso o scarica automaticamente il ransomware sul loro sistema. Questa tattica sfrutta gli utenti che navigano su siti Web senza solidi ad blocker o misure di sicurezza.

• Software Bundling: il ransomware potrebbe essere incorporato in download di software apparentemente legittimi, in particolare software gratuiti o piratati. Gli utenti che scaricano tali programmi senza esaminarne la fonte o verificarne la legittimità potrebbero installare inconsapevolmente il ransomware insieme al software desiderato. In alcuni casi, il malware potrebbe essere nascosto in falsi aggiornamenti software o patch, mascherando ulteriormente il suo intento malevolo.

L’impatto del ransomware RDP (Chaos)

Una volta che RDP (Chaos) infetta un sistema, il suo processo di crittografia rende i file inutilizzabili. I tipi di file comuni, tra cui documenti, immagini e video, sono tutti a rischio, con le versioni crittografate che ricevono l'estensione .encrypted. La nota di riscatto allegata non solo richiede il pagamento, ma aumenta anche la pressione psicologica sulle vittime sottolineando l'impossibilità di recupero senza pagare per il software di decrittazione.

Sebbene il prezzo (50 USD) sia apparentemente basso, è stato deliberatamente progettato per invogliare le vittime a pagare rapidamente, soprattutto se i dati tenuti in ostaggio sono di valore. Tuttavia, pagare il riscatto non garantisce che gli aggressori forniranno uno strumento di decrittazione funzionante e, in molti casi, le vittime rimangono senza i loro dati anche dopo aver ottemperato alle richieste.

Come proteggersi dagli attacchi ransomware

Sebbene il ransomware sia una minaccia seria, ci sono alcune misure che puoi adottare per ridurre al minimo il rischio di infezione. Ecco come puoi proteggere i tuoi dati e il tuo dispositivo:

1. Mantieni aggiornato il tuo software: aggiornando regolarmente i tuoi programmi di sicurezza, il sistema operativo e il software, garantirai che il tuo dispositivo abbia le ultime patch di sicurezza. Il ransomware spesso sfrutta vulnerabilità note e rimanere aggiornato può colmare queste lacune di sicurezza.

• Rafforza la sicurezza RDP: se devi usare il protocollo Remote Desktop Protocol (RDP), assicurati che sia adeguatamente protetto. Ciò include l'uso di password forti e univoche, l'abilitazione dell'autenticazione a due fattori (2FA) e la limitazione dell'accesso solo agli indirizzi IP attendibili.

• Fai attenzione agli allegati e ai link delle email: le email di phishing sono un vettore di attacco comune. Gestisci le email indesiderate, in particolare quelle con allegati o link, con estrema cautela, anche se sembrano legittime. Se non sei sicuro, verifica l'identità del mittente prima di interagire con l'email.

• Backup regolari: eseguire il backup dei dati frequentemente e archiviare i backup offline o in un servizio cloud non connesso al sistema principale garantisce di poter recuperare i dati senza dover pagare un riscatto. In caso di attacco, avere backup accessibili è la tua migliore difesa.

• Usa misure di sicurezza efficaci: investi in un programma anti-malware affidabile che offra protezione in tempo reale. Molte suite di sicurezza offrono funzionalità di protezione ransomware che possono scoprire e bloccare queste minacce prima che possano causare danni.

Ransomware come RDP (Chaos) rappresentano una seria minaccia per chiunque sia connesso a Internet. Comprendendo come viene distribuito il ransomware e adottando misure proattive per proteggere i tuoi dispositivi, il rischio di subire un attacco può essere notevolmente ridotto. La chiave è la vigilanza, il mantenimento di ragionevoli pratiche di sicurezza e la conservazione di backup dei tuoi dati critici. Quando si tratta di ransomware, anticipare è sempre meglio che curare.

Il messaggio di riscatto che le vittime dell'RDP (Chaos) vedranno recita:

'All of your files have been encrypted
Your computer was infected with a ransomware and RDP virus.
Your files and data have been encrypted and you won't be able to decrypt them without our help.
What can I do to get my files back?
You can buy our special decryption software, this software will allow you to recover all of your data and remove the
ransomware from your computer.
The price for the software is $50.
Payment can be made in Crypto only.
How do I pay, where do I get Crypto?
Purchasing Crypto varies from country to country, you are best advised to do a quick google search
yourself to find out how to buy Crypto.
Many of our customers have reported these sites to be fast and reliable:
Cashapp, Coinbase, bicance, Paypal, Kraken
Once the payment has been made you can email us and a Decryption key will be sent to you.
All Restore Points, Shadow Coppies and recovery mode on ur computer have been deleted/disabled
Clients Must pay or sadly ALL data and files are lost, PC Reset will resualt in disabling windows operations

If you have any questions please email us, but also remember, we dont make this Ransomeware, just the decryption keys.

Email: foheg17549@marchub.com

Payment Amount: $50.00
Bitcoin Address: 17CqMQFeuB3NTzJ2X28tfRmWaPyPQgvoHV
Litecoin Address Lg6PmtU6vusUH3DhYR4QL6h2UtLkzwHrfL
Ethereum Address: 0x2ad0e5ABc63d003448Fbe03f580Aa30e5E831d09
Solana Address: 7iKLcDfUqJrbkFk7V17CqMQFeuB3NTzJ2X28tfRmWaPyPQgvoHV'