Το Pegasus Ransomware κρυπτογραφεί μονάδες δίσκου συστήματος θυμάτων

Η ομάδα μας συνάντησε το Pegasus, ένα πρόγραμμα ransomware, κατά την εξέταση νέων δειγμάτων αρχείων. Όταν εκτελέσαμε ένα δείγμα του Pegasus στη δοκιμαστική μηχανή μας, κρυπτογραφούσε αρχεία και τροποποίησε τα ονόματά τους.

Τα αρχικά ονόματα αρχείων επεκτάθηκαν με μια συμβολοσειρά τυχαίων χαρακτήρων, για παράδειγμα, το "1.jpg" έγινε "1.jpg.tBC8M" και το "2.png" έγινε "2.png.qGuj7". Μετά την ολοκλήρωση της διαδικασίας κρυπτογράφησης, κατατέθηκε ένα σημείωμα λύτρων με το όνομα "Ghost_ReadMe.txt".

Το σημείωμα λύτρων ειδοποιεί το θύμα ότι τα αρχεία του δεν είναι προσβάσιμα λόγω κρυπτογράφησης. Τους διαβεβαιώνει ότι μπορούν να ανακτήσουν τα δεδομένα τους αγοράζοντας το εργαλείο αποκρυπτογράφησης από τους εισβολείς. Το ποσό των λύτρων καθορίζεται ως 350 $ σε κρυπτονόμισμα Bitcoin. Μετά την πληρωμή, το θύμα λαμβάνει οδηγίες να παράσχει αποδεικτικά στοιχεία της συναλλαγής, μετά την οποία του υποσχέθηκε ότι θα λάβει το κλειδί αποκρυπτογράφησης.

Το Pegasus Ransom Note απαιτεί 350 $ σε πληρωμή

Το πλήρες κείμενο του αρχείου "Ghost_ReadMe.txt" που δημιουργήθηκε από το ransomware Pegasus έχει ως εξής:

Oops, Your Files Have Been Encrypted!
We Have Encrypted Your Data With The Strongest.
You Don't Need to worry.

All of your files have been encrypted
Your computer was infected with a ransomware virus. Your files have been encrypted and you won't
be able to decrypt them without our help.

What can I do to get my files back? You can buy the decrypter.
it will leave your pc as it was before the encryption.

How Can I Decrypt Files?

1. You Can Buy Crypto Here: hxxps://www.coinmama.com/
2. Send $350 To Bitcoin Wallet address: 16JpyqQJ6z1GbxJNztjUnepXsqee3SBz75
3. Send Proof of Transaction to Our Email Address to Get a Decryption Tool and Private Key
4. Contact Our email address: ransom.data@gmail.com

Note: Do Not Use Third Party Decryption Tools

Ποια είναι τα πιο συνηθισμένα διανύσματα επίθεσης που χρησιμοποιούνται από το Ransomware;

Το Ransomware μπορεί να διεισδύσει σε συστήματα μέσω διαφόρων φορέων επίθεσης, αλλά μερικά από τα πιο κοινά περιλαμβάνουν:

Email ηλεκτρονικού ψαρέματος: Οι εισβολείς συχνά διανέμουν ransomware μέσω ηλεκτρονικού ταχυδρομείου ηλεκτρονικού ψαρέματος που περιέχουν κακόβουλα συνημμένα ή συνδέσμους. Αυτά τα μηνύματα ηλεκτρονικού ταχυδρομείου ενδέχεται να υποδύονται νόμιμες οντότητες ή οργανισμούς, παρακινώντας τους παραλήπτες να κάνουν κλικ σε συνδέσμους ή να κάνουν λήψη συνημμένων που περιέχουν ωφέλιμα φορτία ransomware.

Κακόβουλοι ιστότοποι: Το Ransomware μπορεί να διανεμηθεί μέσω κακόβουλων ιστότοπων ή παραβιασμένων νόμιμων ιστότοπων. Η επίσκεψη σε τέτοιους ιστότοπους ή το κλικ σε κακόβουλες διαφημίσεις μπορεί να οδηγήσει στην αυτόματη λήψη και εκτέλεση ransomware στο σύστημα του θύματος.

Κιτ εκμετάλλευσης: Οι εγκληματίες του κυβερνοχώρου εκμεταλλεύονται ευπάθειες σε λογισμικό ή λειτουργικά συστήματα χρησιμοποιώντας κιτ εκμετάλλευσης για την παράδοση ransomware. Αυτά τα κιτ στοχεύουν γνωστά τρωτά σημεία που δεν έχουν επιδιορθωθεί, επιτρέποντας στους εισβολείς να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση στα συστήματα και να αναπτύξουν ransomware.

Πρωτόκολλο απομακρυσμένης επιφάνειας εργασίας (RDP): Οι εισβολείς ενδέχεται να εξαναγκάσουν τα διαπιστευτήρια RDP ή να εκμεταλλευτούν αδύναμους κωδικούς πρόσβασης για να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση στα συστήματα εξ αποστάσεως. Μόλις μπουν μέσα, μπορούν να αναπτύξουν ransomware απευθείας στα παραβιασμένα συστήματα.

Λήψεις Drive-By: Το Ransomware μπορεί να παραδοθεί μέσω λήψεων Drive-by, όπου το κακόβουλο λογισμικό γίνεται αυτόματα λήψη και εγκατάσταση στο σύστημα του θύματος χωρίς τη συγκατάθεση ή τη γνώση του όταν επισκέπτεται παραβιασμένους ή κακόβουλους ιστότοπους.

Κακόβουλη διαφήμιση: Οι εγκληματίες του κυβερνοχώρου ενδέχεται να διανέμουν ransomware μέσω κακόβουλων διαφημίσεων (κακόποιων διαφημίσεων) που εμφανίζονται σε νόμιμους ιστότοπους. Κάνοντας κλικ σε αυτές τις διαφημίσεις μπορείτε να ανακατευθύνετε τους χρήστες σε ιστότοπους που φιλοξενούν ransomware ή να ξεκινήσετε αυτόματες λήψεις ωφέλιμων φορτίων ransomware.

Απομακρυσμένη εκτέλεση κώδικα (RCE): Τα τρωτά σημεία σε εφαρμογές web ή λογισμικό διακομιστή μπορούν να αξιοποιηθούν για την εκτέλεση αυθαίρετου κώδικα εξ αποστάσεως. Οι εισβολείς μπορούν να αξιοποιήσουν τα τρωτά σημεία RCE για να αναπτύξουν ransomware σε διακομιστές ή δικτυωμένες συσκευές.

Δίκτυα κοινής χρήσης αρχείων: Το Ransomware μπορεί να εξαπλωθεί μέσω δικτύων κοινής χρήσης αρχείων peer-to-peer (P2P) ή διακυβευμένων κοινών χρήσεων δικτύου. Τα μολυσμένα αρχεία που κοινοποιούνται μέσω αυτών των δικτύων μπορεί να οδηγήσουν στην εξάπλωση του ransomware σε άλλους χρήστες ή συσκευές που είναι συνδεδεμένες στο δίκτυο.