BackMyData Ransomware

O BackMyData é uma ameaça de ransomware que atraiu a atenção de pesquisadores de segurança cibernética. De acordo com a sua análise detalhada, esta ameaça apresenta a capacidade de tornar uma ampla gama de tipos de ficheiros totalmente inacessíveis através da utilização de algoritmos de encriptação robustos. O impacto vai além da criptografia, pois os nomes originais dos arquivos afetados sofrem modificações substanciais. A ameaça anexa o ID da vítima, um endereço de e-mail ('backmydata@skiff.com') e a extensão '.backmydata' ao nome de cada arquivo alterado. Isso resulta em uma transformação distinta, exemplificada por mudanças como '1.png' tornando-se '1.jpg.id[9ECFA74E-3511].[backmydata@skiff.com].backmydata' e '2.pdf' transformando-se em '2 .pdf.id[9ECFA74E-3511].[backmydata@skiff.com].backmydata,' entre outros.

As vítimas do BackMyData são confrontadas com duas notas de resgate apresentadas na forma de arquivos 'info.hta' e 'info.txt'. Estas notas servem como canal de comunicação entre os atacantes e as vítimas, descrevendo os pedidos de resgate e instruções para um potencial pagamento. Notavelmente, a ameaça é identificada como uma variante dentro da família Phobos Ransomware, enfatizando a sua associação com uma categoria mais ampla de software ameaçador.

As Vítimas do BackMyData Têm Seus Arquivos Tomados como Reféns pelos Cibercriminosos

A nota de resgate emitida pelo BackMyData serve como uma notificação às vítimas, informando explicitamente que sua rede foi comprometida e os arquivos criptografados. Também revela o uso de táticas de dupla extorsão por parte dos cibercriminosos, ao alegar que foram coletados dados confidenciais, abrangendo informações pertencentes a funcionários, clientes, parceiros e documentação interna da empresa. A nota comunica explicitamente que todos os dados furtados serão retidos até que o resgate exigido seja pago.

Além disso, a nota apresenta um ultimato, ameaçando vender os dados comprometidos se as negociações falharem. Descreve as potenciais repercussões para a vítima, incluindo repercussões legais, perdas financeiras e danos irreparáveis à sua reputação após a divulgação dos dados.

Numa tentativa estratégica de coagir o cumprimento, os atacantes propõem um resgate com desconto se a vítima os contactar dentro de um prazo especificado. São fornecidas instruções de comunicação, indicando o uso de uma plataforma de mensagens específica (Sessão) e um endereço de e-mail (backmydata@skiff.com).

Além disso, a nota de resgate impõe diretrizes estritas que a vítima deve seguir para evitar danos inadvertidos aos arquivos criptografados. Adverte explicitamente contra o envolvimento de terceiros ou a utilização de software de desencriptação não autorizado, enfatizando a necessidade de conformidade.

Além da criptografia de arquivos, o BackMyData agrava a ameaça ao desativar o firewall no sistema visado, aumentando sua suscetibilidade a atividades maliciosas. Ele apaga deliberadamente as cópias de volume de sombra, eliminando possíveis pontos de restauração. Além disso, BackMyData possui a capacidade de extrair dados de localização e emprega mecanismos de persistência. A ameaça também pode ser configurada para excluir locais predeterminados do seu alcance.

É crucial ressaltar que variantes de ransomware da família Phobos, incluindo BackMyData, demonstraram uma tendência de explorar vulnerabilidades em serviços de Remote Desktop Protocol (RDP) para infecção. Muitas vezes, eles aproveitam credenciais de contas fracas por meio de ataques de força bruta e de dicionário, obtendo assim acesso não autorizado a sistemas com segurança de conta gerenciada de forma inadequada. Isto sublinha a necessidade de medidas de cibersegurança reforçadas e de vigilância para combater ameaças tão sofisticadas.

Uma Abordagem de Segurança Robusta pode Impedir que Ameaças de Ransomware Afetem os Dispositivos dos Usuários

Proteger dispositivos contra ataques de ransomware envolve uma combinação de medidas proativas, práticas recomendadas de segurança cibernética e vigilância. Aqui estão algumas recomendações importantes para os usuários protegerem seus dispositivos:

• Mantenha o software e os sistemas atualizados : Atualize regularmente os sistemas operacionais, aplicativos de software e programas de segurança para corrigir vulnerabilidades e proteger contra explorações conhecidas.
• Use software de segurança confiável : Instale software antimalware confiável em dispositivos para detectar e prevenir infecções por ransomware. Mantenha o software de segurança atualizado para as definições de ameaças mais recentes.
• Ativar proteção de firewall : Ative e mantenha um firewall robusto para observar o tráfego de entrada e saída da rede, adicionando uma camada adicional de defesa contra acesso não autorizado.
• Faça backup de dados importantes : Faça backup regularmente de dados críticos em um dispositivo de armazenamento externo off-line. As soluções de backup baseadas em nuvem também podem garantir efetivamente a implementação de controles de acesso e procedimentos de segurança adequados.
• Exercite vigilância com anexos e links de e-mail : Seja extremamente vigilante ao acessar anexos ou links de e-mail, especialmente de fontes desconhecidas ou suspeitas. Verifique a legitimidade dos e-mails e evite baixar arquivos de e-mails não confiáveis.
• Use senhas fortes e exclusivas : Empregue senhas fortes e exclusivas para suas contas e pense nas vantagens de usar um gerenciador de senhas para ajudar a gerar e gerenciar senhas complexas. Evite usar senhas padrão ou facilmente adivinháveis.
• Implementar segmentação de rede : A segmentação de redes pode ajudar a conter a propagação de ransomware, restringindo sua capacidade de se mover lateralmente dentro de uma rede. Isto limita o impacto se um segmento for comprometido.

Ao combinar estas medidas, os utilizadores podem melhorar significativamente as suas defesas contra ataques de ransomware e minimizar o impacto potencial nos seus dispositivos e dados.

A nota de resgate gerada pelo BackMyData Ransomware diz:

'!!! ATTENTION !!!

Your network is hacked and files are encrypted.
Including the encrypted data we also downloaded other confidential information:
Data of your employees, customers, partners, as well as accounting and
other internal documentation of your company.

All data is stored until you will pay.
After payment we will provide you the programs for decryption and we will delete your data
We dont want did something bad to your company, it is just bussines (Our reputation is our money!)
If you refuse to negotiate with us (for any reason) all your data will be put up for sale.

What you will face if your data gets on the black market:
1) The personal information of your employees and customers may be used to obtain a loan or
purchases in online stores.
2) You may be sued by clients of your company for leaking information that was confidential.
3) After other hackers obtain personal data about your employees, social engineering will be
applied to your company and subsequent attacks will only intensify.
4) Bank details and passports can be used to create bank accounts and online wallets through
which criminal money will be laundered.
5) You will forever lose the reputation.
6) You will be subject to huge fines from the government.
You can learn more about liability for data loss here:
hxxps://en.wikipedia.org/wiki/General_Data_Protection_Regulation
hxxps://gdpr-info.eu/
Courts, fines and the inability to use important files will lead you to huge losses.
The consequences of this will be irreversible for you.
Contacting the police will not save you from these consequences, and lost data,
will only make your situation worse.

IF YOU WILL CONTACT US IN FIRST 6 hours , and we close our deal in 24 hours , PRICE WILL BE ONLY 30%.
(time is money for both of us , if you will take care about our time , we will do same , we will care of price and decryption process will be done VERY FAST)
ALL DOWNLOADED DATA WILL BE DELETED after payment.

You can get out of this situation with minimal losses (Our reputation is our money!) !!!
To do this you must strictly observe the following rules:
DO NOT Modify, DO NOT rename, DO NOT copy, DO NOT move any files.
Such actions may DAMAGE them and decryption will be impossible.
DO NOT use any third party or public decryption software, it may also DAMAGE files.
DO NOT Shutdown or Reboot the system this may DAMAGE files.
DO NOT hire any third party negotiators (recovery/police, etc.)
You need to contact us as soon as possible and start negotiations.

You can send us 1-2 small data not value files for test , we will decrypt it and send it to you back.
After payment we need no more that 2 hours to decrypt all of your data. We will be support you untill fully decryption going to be done! ! !
(Our reputation is our money!)

Instructions for contacting our team:
Download the (Session) messenger (hxxps://getsession.org) in messenger 05947063ab6603c0e3a12db53d93d23634081c56390ff2084d11977820f78ce877

MAIL:backmydata@skiff.com'