Preventivo sconto multi-licenza
Database delle minacce Riscatto Theft Ransomware

Theft Ransomware

Entro Mezo nel Riscatto
Traduci in:

Il moderno ambiente di minacce è spietato. I criminali informatici affinano costantemente i loro strumenti per sfruttare gli utenti impreparati. Tra le minacce più dannose c'è il ransomware, un software dannoso che crittografa i dati e estorce denaro alle vittime. Una di queste varianti emergenti è nota come Theft Ransomware, che è già stata osservata mentre seminava il caos su sistemi ignari.

Cosa rende pericoloso il ransomware antifurto

Theft Ransomware è un nuovo ceppo legato alla famigerata famiglia di ransomware Dharma, un gruppo noto per prendere di mira sia individui che organizzazioni. Dopo essersi infiltrato in un dispositivo, il malware crittografa i file e li rinomina aggiungendo:

  • Un ID vittima univoco
  • L'indirizzo email degli aggressori
  • L'estensione '.theft'

Ad esempio, '1.png' diventa '1.png.id-9ECFA84E.[datatheft@tuta.io].theft.'

Le vittime si trovano quindi di fronte a richieste di riscatto sotto forma di file di testo ('info.txt') e una finestra pop-up. Mentre la nota di testo è concisa e fornisce solo i dati di contatto, la finestra pop-up offre maggiori dettagli, tra cui la rassicurazione che il recupero dei dati è possibile una volta pagato il riscatto. Gli aggressori offrono persino una "prova di decifratura" consentendo il ripristino gratuito di tre piccoli file non critici.

Per aumentare ulteriormente la pressione, i criminali affermano di aver rubato dati aziendali sensibili e minacciano di divulgarli se il pagamento verrà rifiutato.

Caratteristiche tecniche della minaccia

Come altre varianti basate su Dharma, Theft Ransomware non blocca interi sistemi, ma crittografa i file locali e condivisi in rete. Il malware agisce attivamente:

  • Termina i processi legati ai file in uso (database, lettori, ecc.)
  • Si copia nel percorso %LOCALAPPDATA% e registra la persistenza tramite le chiavi Run
  • Si imposta per l'avvio automatico con i riavvii del sistema
  • Elimina le copie shadow del volume per impedire un facile ripristino

Il malware raccoglie anche dati di geolocalizzazione per determinare se procedere con la crittografia, escludendo eventualmente determinate regioni.

Come si diffonde l’infezione

Il ransomware Theft utilizza diverse tattiche di infiltrazione, la più comune delle quali è l'utilizzo di servizi RDP (Remote Desktop Protocol) scarsamente protetti. Gli attacchi brute-force e a dizionario contro account scarsamente protetti rappresentano un punto di ingresso frequente. Una volta penetrato, il malware può persino disattivare i firewall per facilitare il suo funzionamento.

Altri canali di distribuzione noti includono:

Phishing e ingegneria sociale : allegati o link dannosi in e-mail, messaggi diretti e post.

Trojan e backdoor : utilizzati per rilasciare silenziosamente il ransomware.

Malvertising e download drive-by : attivati semplicemente visitando un sito web compromesso.

Fonti software sospette : strumenti piratati, pacchetti freeware e aggiornamenti falsi.

Supporti rimovibili e reti locali : consentono al malware di diffondersi internamente una volta installato su un sistema.

Perché pagare il riscatto è una scommessa rischiosa

Decifrare i file crittografati tramite Theft senza la chiave degli aggressori è quasi impossibile. Sebbene alcune varianti di ransomware siano imperfette, le minacce basate su Dharma sono solitamente solide. È importante sottolineare che il pagamento del riscatto non offre alcuna garanzia di recupero: molte vittime rimangono a mani vuote anche dopo aver trasferito i fondi. Peggio ancora, il pagamento finanzia solo ulteriori operazioni criminali.

Rafforzare le difese contro il ransomware

Il modo migliore per combattere il Theft Ransomware è la prevenzione. Poiché la rimozione del malware non ripristina automaticamente i file crittografati, gli utenti devono concentrarsi sulla resilienza e sulle difese proattive. Le principali pratiche che ogni utente dovrebbe adottare sono:

  • Backup regolari: conserva copie dei file importanti in più posizioni sicure, come unità offline e servizi cloud non mappati sul sistema infetto.
  • Aggiorna software e sistemi: applica patch per chiudere le vulnerabilità sfruttate dal ransomware.
  • Utilizza l'autenticazione avanzata: proteggi i servizi RDP con password univoche e complesse e abilita l'autenticazione a più fattori.
  • Fai attenzione alle email e ai link: non aprire allegati inaspettati e non cliccare su link sconosciuti, anche se sembrano legittimi.
  • Limita i diritti amministrativi: limita i privilegi per ridurre l'impatto della potenziale esecuzione di malware.
  • Installa strumenti di sicurezza affidabili: utilizza soluzioni anti-malware con funzionalità di protezione dal ransomware.
  • Disattiva macro e script: molti attacchi ransomware vengono attivati tramite documenti o script di Office.
  • Segmentazione delle reti: impedisce al malware di diffondersi lateralmente negli ambienti aziendali.

Considerazioni finali

Il ransomware Theft mette in luce la continua evoluzione della famiglia Dharma e il suo ruolo duraturo nelle campagne ransomware globali. La sua combinazione di crittografia, furto di dati ed estorsione lo rende particolarmente dannoso. Poiché il ripristino dei file è spesso impossibile senza backup puliti, l'unica vera difesa è la prevenzione a più livelli, una solida igiene informatica e strategie di recupero affidabili.

System Messages

The following system messages may be associated with Theft Ransomware:

All your files has been encrypted!

Don't worry, you can return all your files!
If you want to restore them, contact us: datatheft@tuta.io YOUR ID -
If you have not answered by mail within 12 hours, contact mail:datatheft@cyberfear.com

Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), files should not contain valuable information. (databases,backups, large excel sheets, etc.)

Some of your data has been downloaded

In case if you refuse to cooperate all downloaded data will be transfered to third parties. Financial implications: The threat of data breach could result in significant fines and legal action. Reputational risks: Data breach may lead to a loss of trust from customers and partners, as well as negative consequences for your future work. We strongly recommend you to contact us directly, to avoid the extra fee from middlemans and lower the risks of scam.

Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
Ransom note in the text files:
All your data has been encrypted.

For decryption contact:

datatheft@tuta.io or datatheft@cyberfear.com

Post correlati

Tendenza

I più visti

Caricamento in corso...