Intel-ransomware

Onderzoekers hebben een nieuwe soort ransomware ontdekt, bekend als de Intel Ransomware. Deze bedreigende software infiltreert apparaten, versleutelt de opgeslagen gegevens en eist losgeld in ruil voor de vermeende ontsleuteling van de aangetaste informatie.

Met name bestanden die getroffen zijn door de Intel-ransomware ondergaan een hernoemingsproces. De originele bestandsnamen worden aangevuld met een unieke identificatie die aan het slachtoffer is toegewezen, gevolgd door '.[intellent@ai_download_file]', en afgesloten met de '.intel'-extensie. Ter illustratie: een bestand met de aanvankelijke naam '1.jpg' zou na de codering worden omgezet in '1.jpg.id-9ECFA93E.[intellent@ai_download_file].intel'.

Zodra het versleutelingsproces is voltooid, krijgen de slachtoffers losgeldbrieven te zien die zowel in een pop-upvenster als in de vorm van tekstbestanden met de naam 'README!.txt' worden gepresenteerd. Deze tekstbestanden worden in elke gecodeerde map en op het bureaublad van het systeem geplaatst. Uit analyse van de inhoud van het losgeldbriefje blijkt dat de Intel Ransomware zich specifiek op bedrijven richt en dubbele afpersingstactieken toepast. Bovendien is dit bedreigende programma gelieerd aan de Dharma Ransomware- familie.

De Intel Ransomware voorkomt dat slachtoffers toegang krijgen tot hun eigen gegevens

De Intel Ransomware demonstreert een alomvattende aanpak door zowel lokale als op het netwerk gedeelde bestanden te coderen, terwijl cruciale systeembestanden onaangetast blijven om te voorkomen dat het systeem niet meer operationeel wordt. Het gebruikt met name een strategie om dubbele encryptie te voorkomen door bestanden uit te sluiten die door andere ransomware zijn vergrendeld. Deze methode is echter niet onfeilbaar, omdat deze afhankelijk is van een vooraf gedefinieerde lijst die mogelijk niet alle bekende ransomwarevarianten omvat.

Bovendien vertoont de Intel-malware een verfijning in zijn werking door processen te sluiten die verband houden met bestanden die mogelijk open zijn, zoals tekstbestandlezers en databaseprogramma's. Deze proactieve maatregel is bedoeld om conflicten te voorkomen voor bestanden die als 'in gebruik' worden beschouwd, en zorgt ervoor dat ze niet zijn vrijgesteld van encryptie.

De Dharma-familie van ransomware, waartoe de Intel-malware behoort, maakt gebruik van strategische tactieken voor infiltratie en persistentie. Dit omvat het uitschakelen van de firewall om infiltratie te vergemakkelijken en detectie te omzeilen. Bovendien omvatten persistentie-verzekerende technieken:

• De malware wordt gekopieerd naar het pad %LOCALAPPDATA%.
• Registreren met specifieke Run-sleutels.
• Configuratie van automatische start van de ransomware na elke herstart van het systeem.

Een opmerkelijk aspect van de Dharma-aanvallen is hun potentieel voor gerichte acties. De programma's die aan deze familie zijn gekoppeld, kunnen geolocatiegegevens verzamelen, waardoor uitzonderingen in hun aanvallen mogelijk zijn. Dit aanpassingsvermogen impliceert dat infecties politieke of geopolitieke motieven kunnen hebben, of doelbewust slachtoffers kunnen vermijden waarvan het onwaarschijnlijk is dat ze aan de losgeldeisen zullen voldoen, vooral in regio's met zwakke economische omstandigheden.

Om de herstelinspanningen verder te belemmeren, kan de Intel Ransomware de schaduwvolumekopieën verwijderen, waardoor het herstel van eerdere versies van bestanden wordt belemmerd. Op basis van uitgebreid onderzoek naar ransomware-infecties is het duidelijk dat decodering zonder tussenkomst van de aanvallers doorgaans een onoverkomelijke uitdaging is.

De Intel Ransomware maakt gebruik van dubbele afpersingstactieken

De inhoud van het tekstbestand dient als een korte melding aan het slachtoffer, waarmee wordt aangegeven dat hun gegevens zijn gecodeerd en verzameld. Het slachtoffer wordt gevraagd om communicatie tot stand te brengen door een e-mail naar de aanvallers te sturen.

Het pop-upbericht geeft daarentegen meer gedetailleerde informatie over de ransomware-infectie. Het herhaalt de aspecten van encryptie en gegevensdiefstal en benadrukt de urgentie van de situatie. De losgeldbrief geeft een strikte waarschuwing dat het niet binnen 24 uur contacteren van de cybercriminelen of de weigering om aan de eis om losgeld te voldoen, zal leiden tot de blootstelling van de gestolen inhoud op het dark web of de verkoop ervan aan concurrenten van het bedrijf van het slachtoffer.

Om de mogelijkheid tot herstel aan te tonen, biedt het bericht een gratis decoderingstest die op één enkel bestand kan worden uitgevoerd. Het slachtoffer wordt er ook expliciet van op de hoogte gebracht dat het zoeken naar hulp bij herstelbedrijven tot extra financiële verliezen kan leiden, aangezien deze tussenpersonen doorgaans kosten in rekening brengen die bovenop het losgeldbedrag komen.

Het wordt echter vaak waargenomen dat slachtoffers, zelfs nadat ze aan de losgeldeisen hebben voldaan, niet de beloofde decoderingssleutels of software ontvangen. Ondanks het voldoen aan de losgeldvereisten, is er geen garantie op bestandsherstel. Bijgevolg raden onderzoekers het betalen van het losgeld ten zeerste af, omdat dit niet alleen het terughalen van bestanden niet garandeert, maar ook criminele activiteiten in stand houdt en ondersteunt. Bovendien is het essentieel om te begrijpen dat het verwijderen van ransomware de verdere versleuteling van gegevens weliswaar kan tegenhouden, maar dat het verwijderingsproces eerder aangetaste bestanden niet automatisch herstelt.

De Intel Ransomware geeft de volgende losgeldbrief weer als een pop-upvenster:

'intellent.ai We downloaded to our servers and encrypted all your databases and personal information!

Als u ons niet binnen 24 uur schrijft, zullen we beginnen met het publiceren en verkopen van uw gegevens op het darknet op hackersites en bieden we de informatie aan uw concurrenten aan
e-mail ons: intellent.ai@onionmail.org UW ID -
Als u binnen 24 uur niets heeft gehoord, schrijf dan naar deze e-mail:intellent.ai@onionmail.org

BELANGRIJKE GEGEVENS!
Houd er rekening mee dat zodra uw gegevens op onze leksite verschijnen, deze op elk moment door uw concurrenten kunnen worden gekocht, dus aarzel niet lang. Hoe eerder u het losgeld betaalt, hoe eerder uw bedrijf veilig zal zijn.
We hebben al uw rapporten en de inkomsten van uw bedrijf bekeken.
Garantie:Als we u geen decryptor verstrekken of uw gegevens verwijderen nadat u heeft betaald, zal niemand ons in de toekomst betalen. Wij waarderen onze reputatie.
Garantiesleutel: Om te bewijzen dat de decoderingssleutel bestaat, kunnen we het bestand (niet de database en de back-up) gratis testen.
Probeer uw gegevens niet te decoderen met software van derden, dit kan permanent gegevensverlies veroorzaken.
Ga niet naar herstelbedrijven - zij zijn in wezen slechts tussenpersonen. Het decoderen van uw bestanden met de hulp van derden kan een hogere prijs met zich meebrengen (zij voegen hun vergoeding toe aan die van ons). Wij zijn de enigen die over de decoderingssleutels beschikken.

De tekstbestanden gemaakt door Intel Ransomware bevatten het volgende bericht:

Uw gegevens zijn gestolen en gecodeerd!

email ons

intellent.ai@onionmail.org'