Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Ransomware Mortar Ransomware

Mortar Ransomware

Por Mezo em Ransomware
Traduzir Para:

O malware continua sendo uma das ameaças de segurança cibernética mais significativas para organizações e indivíduos. Os ataques de ransomware modernos podem interromper as operações comerciais, causar graves prejuízos financeiros e comprometer informações confidenciais em questão de horas. À medida que os grupos de ransomware se tornam cada vez mais sofisticados, manter controles de segurança robustos e defesas proativas é essencial para proteger dados valiosos e garantir a continuidade operacional.

Visão geral do ransomware Mortar

O ransomware Mortar é uma variante de malware que criptografa arquivos, identificada por pesquisadores de segurança cibernética. A ameaça foi projetada principalmente para atingir ambientes corporativos, onde os atacantes buscam maximizar a interrupção operacional e aumentar a pressão sobre as vítimas para que paguem um resgate. Uma vez implantado em uma rede comprometida, o Mortar criptografa arquivos e deixa uma nota de resgate nomeada de acordo com o identificador exclusivo da vítima, seguindo o formato 'README-[ID da vítima].txt'.

Uma característica distintiva deste ransomware é seu comportamento de renomeação de arquivos. Durante a criptografia, o Mortar adiciona um ID de vítima exclusivo a cada arquivo afetado. Por exemplo, um arquivo originalmente chamado '1.png' pode se tornar '1.png.4RcrXfvVksS5ACA', enquanto um documento como '2.pdf' pode ser transformado em '2.pdf.4RcrXfvVksS5ACA'. O mesmo identificador é então usado no nome do arquivo da nota de resgate, criando uma associação direta entre a vítima e o ataque.

Processo de criptografia e pedidos de resgate

Após infiltrar-se em uma rede, o Mortar criptografa uma ampla gama de dados, incluindo documentos, bancos de dados, fotografias e outros arquivos comerciais valiosos. A nota de resgate alega que os atacantes usaram algoritmos de criptografia AES-256 e RSA-2048 para bloquear as informações da vítima. Embora tais alegações sejam comuns entre operadores de ransomware, o objetivo geral permanece o mesmo: tornar os dados inacessíveis sem a chave de descriptografia correspondente.

A nota de resgate informa às vítimas que a única maneira de recuperar seus arquivos é comprando uma ferramenta de descriptografia dos atacantes. Em vez de especificar um valor fixo de resgate, os criminosos direcionam as vítimas para um portal baseado na rede Tor e fornecem credenciais de login, que consistem em um nome de usuário e senha. Essa abordagem permite que os atacantes negociem os pagamentos individualmente e, potencialmente, ajustem as exigências de resgate com base no valor percebido da organização da vítima.

É possível recuperar arquivos criptografados?

Recuperar arquivos criptografados por ransomware costuma ser extremamente difícil sem acesso ao mecanismo de descriptografia dos atacantes. Em raras situações, pesquisadores de segurança cibernética descobrem erros de implementação ou vulnerabilidades criptográficas que permitem a criação de descriptografadores gratuitos. No entanto, esses casos são incomuns, e as vítimas afetadas por ransomware bem elaborado frequentemente enfrentam opções de recuperação limitadas.

Pagar o resgate é geralmente considerado uma decisão de alto risco. Os cibercriminosos não são obrigados a fornecer uma ferramenta de descriptografia funcional após receberem o pagamento. Muitas vítimas já vivenciaram situações em que os fundos foram transferidos, mas as ferramentas de recuperação nunca foram entregues, ou as ferramentas fornecidas não conseguiram restaurar os dados com sucesso. Consequentemente, o pagamento pode resultar em perdas financeiras adicionais sem garantir a recuperação dos arquivos.

Vetores de infecção e técnicas de ataque

O ransomware Mortar pode atingir as vítimas por meio de diversos métodos de ataque comumente usados em campanhas de ransomware. O phishing continua sendo um dos vetores de infecção mais prevalentes. Os atacantes distribuem e-mails contendo anexos maliciosos, como arquivos compactados, arquivos executáveis ou documentos do Microsoft Office com macros prejudiciais incorporadas. Uma vez abertos, esses arquivos podem iniciar o processo de implantação do ransomware.

Outras vias de infecção incluem software trojanizado, mecanismos de atualização falsos, campanhas publicitárias maliciosas, portais de download não confiáveis e aplicativos pirateados distribuídos por canais não oficiais. Esses métodos exploram a confiança do usuário e controles de segurança inadequados para obter acesso aos sistemas.

Em intrusões corporativas direcionadas, os agentes de ameaças podem adotar técnicas mais avançadas. Os atacantes frequentemente tentam comprometer os serviços do Protocolo de Área de Trabalho Remota (RDP) por meio de ataques de força bruta contra credenciais fracas. Eles também podem explorar vulnerabilidades não corrigidas em sistemas expostos à internet para obter acesso inicial antes de se movimentarem lateralmente pela rede e implantarem ransomware em vários dispositivos simultaneamente.

Resposta a uma infecção por morteiro

Uma vez detectado o Mortar, o seu isolamento imediato é crucial. A remoção do ransomware dos sistemas afetados ajuda a prevenir novas atividades de criptografia e reduz o risco de danos adicionais em todo o ambiente. No entanto, a remoção do malware não deve ser confundida com a recuperação de dados. Eliminar o programa malicioso não restaura automaticamente os arquivos criptografados.

O método de recuperação mais confiável continua sendo a restauração de backups íntegros criados antes do ataque. Os backups devem ser armazenados separadamente dos sistemas de produção para evitar que o ransomware criptografe os repositórios de backup durante um incidente. Organizações que mantêm backups seguros e isolados geralmente estão em uma posição muito mais forte para se recuperar de ataques de ransomware sem precisar interagir com cibercriminosos.

Construindo Defesas Robustas Contra Ransomware

A proteção eficaz contra ransomware exige uma estratégia de segurança em camadas que combine tecnologia, conscientização do usuário e manutenção proativa. As organizações devem atualizar regularmente os sistemas operacionais, aplicativos e dispositivos de rede para eliminar vulnerabilidades comumente exploradas por invasores. Políticas de autenticação robustas, principalmente para serviços de acesso remoto, podem reduzir significativamente o risco de invasões não autorizadas.

Igualmente importante é o desenvolvimento de uma estratégia de backup robusta. Os dados críticos devem ser copiados para vários locais, incluindo armazenamento offline ou desconectado que não possa ser acessado a partir de sistemas comprometidos. Testes regulares de backup garantem que os procedimentos de restauração funcionem corretamente durante uma emergência.

As principais práticas de segurança incluem:

  • Manter backups frequentes armazenados em locais separados e protegidos.
  • Aplicar atualizações e correções de segurança assim que estiverem disponíveis.
  • Utilizar senhas fortes e exclusivas e ativar a autenticação multifatorial.
  • Restringir serviços de acesso remoto desnecessários e monitorar tentativas de login.
  • Treinar os funcionários para reconhecerem e-mails de phishing e anexos suspeitos.
  • Implementar soluções de proteção de endpoints e monitoramento de rede de boa reputação.

As organizações também devem adotar o princípio do menor privilégio, concedendo aos usuários apenas o acesso necessário para suas funções. O monitoramento contínuo, as auditorias de segurança e o planejamento de resposta a incidentes fortalecem ainda mais a resiliência contra campanhas de ransomware como o Mortar. Uma combinação de controles preventivos, recursos de detecção rápida e sistemas de backup confiáveis continua sendo a defesa mais eficaz contra as ameaças modernas de criptografia de arquivos.

Conclusão

O ransomware Mortar representa uma séria ameaça às redes corporativas devido à sua capacidade de criptografar dados valiosos, interromper operações e pressionar as vítimas a pagar pelo resgate. Ao adicionar identificadores únicos aos arquivos criptografados e direcionar as vítimas para um portal de resgate específico, os atacantes demonstram uma abordagem estruturada e direcionada. Embora a recuperação de arquivos criptografados possa ser desafiadora, as organizações que priorizam práticas robustas de cibersegurança, mantêm backups isolados e abordam proativamente as vulnerabilidades podem reduzir substancialmente o impacto de incidentes de ransomware e melhorar sua postura geral de segurança.

System Messages

The following system messages may be associated with Mortar Ransomware:

--------------------------------------------
| What happened to your files?
--------------------------------------------

We breached your corporate network and encrypted the data on your computers. The encrypted data includes documents, databases, photos and more - all were encrypted using a military grade encryption algorithms (AES-256 and RSA-2048). You cannot access those files right now. But don't worry!

You can still get those files back and be up and running again in no time.

---------------------------------------------
| How to contact us to get your files back?
---------------------------------------------

The only way to restore your files is by purchasing a decryption tool loaded with a private key we created specifically for your network.

Once run on an effected computer, the tool will decrypt all encrypted files - and you can resume day-to-day operations, preferably with better cyber security in mind. If you are interested in purchasing the decryption tool contact us at hxxp://hpo7htcpddfanilknttsymttzfr4usxwjycjpazkleggnvry5bngszyd.onion.

!IMPORTANT!
TO RESTORE YOUR FILES CONTACT US VIA TOR BROWSER

WEBSITE: hxxp://hpo7htcpddfanilknttsymttzfr4usxwjycjpazkleggnvry5bngszyd.onion
USERNAME: sid
PASSWORD: 4RcrXfvVksS5ACA

BACKUP LINK TO SUPPORT TEAM: hxxp://hpo7htcpddfanilknttsymttzfr4usxwjycjpazkleggnvry5bngszyd.onion
!!!!!!!!!!!

Tendendo

Mais visto

Carregando...