BackMyData Ransomware

BackMyData는 사이버 보안 연구원들의 관심을 끌었던 랜섬웨어 위협입니다. 상세한 분석에 따르면 이 위협은 강력한 암호화 알고리즘을 활용하여 다양한 파일 형식에 전혀 액세스할 수 없게 만드는 기능을 보여줍니다. 영향을 받는 파일의 원래 파일 이름이 크게 수정되므로 영향은 암호화 이상으로 확장됩니다. 위협은 변경된 각 파일 이름에 피해자의 ID, 이메일 주소('backmydata@skiff.com') 및 '.backmydata' 확장자를 추가합니다. 이로 인해 '1.png'가 '1.jpg.id[9ECFA74E-3511].[backmydata@skiff.com].backmydata'로 변경되고 '2.pdf'가 '2로 변환되는 등의 변경 사항이 예시되는 등 독특한 변환이 발생합니다. .pdf.id[9ECFA74E-3511].[backmydata@skiff.com].backmydata' 등이 있습니다.

BackMyData의 피해자는 'info.hta' 및 'info.txt' 파일 형식으로 표시된 두 개의 랜섬 노트를 접하게 됩니다. 이 메모는 공격자와 피해자 간의 통신 채널 역할을 하며 몸값 요구 사항과 잠재적인 지불 지침을 간략하게 설명합니다. 특히 이 위협은 Phobos 랜섬웨어 제품군 내의 변종으로 식별되어 더 광범위한 위협 소프트웨어 범주와의 연관성을 강조합니다.

BackMyData의 피해자는 사이버 범죄자에 의해 파일이 인질로 잡혀 있습니다.

BackMyData가 발행한 랜섬노트는 피해자에게 네트워크가 손상되었고 파일이 암호화되었음을 명시적으로 알리는 역할을 합니다. 또한 직원, 고객, 파트너 및 회사 내부 문서와 관련된 정보를 포함하는 기밀 데이터가 수집되었다고 주장함으로써 사이버 범죄자가 이중 강탈 전술을 사용하고 있음을 보여줍니다. 이 메모에는 요구된 몸값이 지불될 때까지 도난당한 모든 데이터가 보관될 것임을 명시적으로 전달합니다.

게다가 이 메모는 협상이 실패할 경우 손상된 데이터를 판매하겠다고 위협하는 최후통첩을 전달합니다. 여기에는 법적 영향, 금전적 손실, 데이터 공개 시 피해자의 평판에 대한 회복 불가능한 손상 등 피해자가 입을 수 있는 잠재적인 영향이 요약되어 있습니다.

규정 준수를 강요하려는 전략적 시도에서 공격자는 피해자가 지정된 기간 내에 연락하면 할인된 몸값을 제안합니다. 특정 메시징 플랫폼(세션) 및 이메일 주소(backmydata@skiff.com)의 사용을 나타내는 통신 지침이 제공됩니다.

또한 랜섬노트는 암호화된 파일의 부주의한 손상을 방지하기 위해 피해자가 따라야 할 엄격한 지침을 부과합니다. 제3자를 개입시키거나 승인되지 않은 암호 해독 소프트웨어를 사용하는 것에 대해 명시적으로 경고하고 규정 준수의 필요성을 강조합니다.

파일 암호화 외에도 BackMyData는 대상 시스템의 방화벽을 비활성화하여 악성 활동에 대한 취약성을 높임으로써 위협을 악화시킵니다. 쉐도우 볼륨 복사본을 의도적으로 지워 잠재적인 복원 지점을 제거합니다. 또한 BackMyData는 위치 데이터를 추출하는 기능을 보유하고 지속성 메커니즘을 사용합니다. 또한 위협은 미리 결정된 위치를 도달 범위에서 제외하도록 구성할 수도 있습니다.

BackMyData를 포함한 Phobos 제품군 내의 랜섬웨어 변종은 RDP(원격 데스크톱 프로토콜) 서비스의 취약성을 감염시키는 경향이 있음을 강조하는 것이 중요합니다. 이들은 종종 무차별 공격과 사전 공격을 통해 취약한 계정 자격 증명을 활용하여 계정 보안이 부적절하게 관리되는 시스템에 무단으로 액세스합니다. 이는 정교한 위협에 대응하기 위해 강화된 사이버 보안 조치와 경계심의 필요성을 강조합니다.

강력한 보안 접근 방식으로 랜섬웨어 위협이 사용자 장치에 영향을 미치는 것을 방지할 수 있습니다

랜섬웨어 공격으로부터 장치를 보호하려면 사전 조치, 사이버 보안 모범 사례 및 경계가 결합되어야 합니다. 다음은 사용자가 장치를 보호하기 위한 몇 가지 주요 권장 사항입니다.

• 소프트웨어 및 시스템 업데이트 유지 : 운영 체제, 소프트웨어 애플리케이션 및 보안 프로그램을 정기적으로 업데이트하여 취약점을 패치하고 알려진 공격으로부터 보호합니다.
• 신뢰할 수 있는 보안 소프트웨어 사용 : 평판이 좋은 맬웨어 방지 소프트웨어를 장치에 설치하여 랜섬웨어 감염을 감지하고 예방합니다. 최신 위협 정의를 위해 보안 소프트웨어를 최신 상태로 유지하세요.
• 방화벽 보호 활성화 : 강력한 방화벽을 활성화하고 유지하여 들어오고 나가는 네트워크 트래픽을 관찰하고 무단 액세스에 대한 추가 방어 계층을 추가합니다.
• 중요 데이터 백업 : 중요 데이터를 외부 오프라인 저장장치에 정기적으로 백업하세요. 클라우드 기반 백업 솔루션은 적절한 액세스 제어 및 보안 절차가 제대로 이루어지도록 효과적으로 보장할 수도 있습니다.
• 이메일 첨부 파일 및 링크에 대한 주의를 기울이십시오 . 이메일 첨부 파일이나 링크에 액세스할 때 특히 알 수 없거나 의심스러운 소스에서 온 경우 더욱 주의하십시오. 이메일의 적법성을 확인하고 신뢰할 수 없는 이메일에서 파일을 다운로드하지 마십시오.
• 강력하고 고유한 비밀번호 사용 : 계정에 강력하고 독점적인 비밀번호를 사용하고 비밀번호 관리자를 사용하여 복잡한 비밀번호를 생성하고 관리하는 데 도움이 되는 이점에 대해 생각해 보세요. 기본 비밀번호나 쉽게 추측할 수 있는 비밀번호를 사용하지 마세요.
• 네트워크 분할 구현 : 네트워크를 분할하면 랜섬웨어가 네트워크 내에서 측면으로 이동하는 기능을 제한하여 랜섬웨어의 확산을 억제하는 데 도움이 될 수 있습니다. 이렇게 하면 세그먼트 하나가 손상될 경우 영향이 제한됩니다.

이러한 조치를 결합함으로써 사용자는 랜섬웨어 공격에 대한 방어력을 크게 강화하고 장치 및 데이터에 대한 잠재적인 영향을 최소화할 수 있습니다.

BackMyData 랜섬웨어에 의해 생성된 몸값 메모는 다음과 같습니다.

'!!! ATTENTION !!!

Your network is hacked and files are encrypted.
Including the encrypted data we also downloaded other confidential information:
Data of your employees, customers, partners, as well as accounting and
other internal documentation of your company.

All data is stored until you will pay.
After payment we will provide you the programs for decryption and we will delete your data
We dont want did something bad to your company, it is just bussines (Our reputation is our money!)
If you refuse to negotiate with us (for any reason) all your data will be put up for sale.

What you will face if your data gets on the black market:
1) The personal information of your employees and customers may be used to obtain a loan or
purchases in online stores.
2) You may be sued by clients of your company for leaking information that was confidential.
3) After other hackers obtain personal data about your employees, social engineering will be
applied to your company and subsequent attacks will only intensify.
4) Bank details and passports can be used to create bank accounts and online wallets through
which criminal money will be laundered.
5) You will forever lose the reputation.
6) You will be subject to huge fines from the government.
You can learn more about liability for data loss here:
hxxps://en.wikipedia.org/wiki/General_Data_Protection_Regulation
hxxps://gdpr-info.eu/
Courts, fines and the inability to use important files will lead you to huge losses.
The consequences of this will be irreversible for you.
Contacting the police will not save you from these consequences, and lost data,
will only make your situation worse.

IF YOU WILL CONTACT US IN FIRST 6 hours , and we close our deal in 24 hours , PRICE WILL BE ONLY 30%.
(time is money for both of us , if you will take care about our time , we will do same , we will care of price and decryption process will be done VERY FAST)
ALL DOWNLOADED DATA WILL BE DELETED after payment.

You can get out of this situation with minimal losses (Our reputation is our money!) !!!
To do this you must strictly observe the following rules:
DO NOT Modify, DO NOT rename, DO NOT copy, DO NOT move any files.
Such actions may DAMAGE them and decryption will be impossible.
DO NOT use any third party or public decryption software, it may also DAMAGE files.
DO NOT Shutdown or Reboot the system this may DAMAGE files.
DO NOT hire any third party negotiators (recovery/police, etc.)
You need to contact us as soon as possible and start negotiations.

You can send us 1-2 small data not value files for test , we will decrypt it and send it to you back.
After payment we need no more that 2 hours to decrypt all of your data. We will be support you untill fully decryption going to be done! ! !
(Our reputation is our money!)

Instructions for contacting our team:
Download the (Session) messenger (hxxps://getsession.org) in messenger 05947063ab6603c0e3a12db53d93d23634081c56390ff2084d11977820f78ce877

MAIL:backmydata@skiff.com'