Pegasus Ransomware cifra las unidades del sistema de la víctima

Nuestro equipo se encontró con Pegasus, un programa de ransomware, mientras revisaba los envíos de muestras de archivos nuevos. Cuando ejecutamos una muestra de Pegasus en nuestra máquina de prueba, cifró archivos y modificó sus nombres.

Los nombres de archivos originales se ampliaron con una cadena de caracteres aleatoria, por ejemplo, "1.jpg" se convirtió en "1.jpg.tBC8M" y "2.png" se convirtió en "2.png.qGuj7". Después de completar el proceso de cifrado, se depositó una nota de rescate denominada "Ghost_ReadMe.txt".

La nota de rescate notifica a la víctima que sus archivos son inaccesibles debido al cifrado. Les asegura que pueden recuperar sus datos comprando la herramienta de descifrado a los atacantes. El monto del rescate se especifica en $350 en criptomoneda Bitcoin. Tras el pago, se le indica a la víctima que proporcione evidencia de la transacción, después de lo cual se le promete recibir la clave de descifrado.

La nota de rescate de Pegasus exige un pago de 350 dólares

El texto completo del archivo "Ghost_ReadMe.txt" generado por el ransomware Pegasus dice lo siguiente:

Oops, Your Files Have Been Encrypted!
We Have Encrypted Your Data With The Strongest.
You Don't Need to worry.

All of your files have been encrypted
Your computer was infected with a ransomware virus. Your files have been encrypted and you won't
be able to decrypt them without our help.

What can I do to get my files back? You can buy the decrypter.
it will leave your pc as it was before the encryption.

How Can I Decrypt Files?

1. You Can Buy Crypto Here: hxxps://www.coinmama.com/
2. Send $350 To Bitcoin Wallet address: 16JpyqQJ6z1GbxJNztjUnepXsqee3SBz75
3. Send Proof of Transaction to Our Email Address to Get a Decryption Tool and Private Key
4. Contact Our email address: ransom.data@gmail.com

Note: Do Not Use Third Party Decryption Tools

¿Cuáles son los vectores de ataque más comunes utilizados por el ransomware?

El ransomware puede infiltrarse en los sistemas a través de varios vectores de ataque, pero algunos de los más comunes incluyen:

Correos electrónicos de phishing: los atacantes suelen distribuir ransomware a través de correos electrónicos de phishing que contienen archivos adjuntos o enlaces maliciosos. Estos correos electrónicos pueden hacerse pasar por entidades u organizaciones legítimas, incitando a los destinatarios a hacer clic en enlaces o descargar archivos adjuntos que contienen cargas útiles de ransomware.

Sitios web maliciosos: el ransomware se puede distribuir a través de sitios web maliciosos o sitios web legítimos comprometidos. Visitar dichos sitios o hacer clic en anuncios maliciosos puede provocar la descarga y ejecución automática de ransomware en el sistema de la víctima.

Kits de explotación: los ciberdelincuentes explotan vulnerabilidades en software o sistemas operativos utilizando kits de explotación para distribuir ransomware. Estos kits apuntan a vulnerabilidades conocidas que no han sido parcheadas, lo que permite a los atacantes obtener acceso no autorizado a los sistemas e implementar ransomware.

Protocolo de escritorio remoto (RDP): los atacantes pueden forzar de forma bruta las credenciales RDP o explotar contraseñas débiles para obtener acceso no autorizado a los sistemas de forma remota. Una vez dentro, pueden implementar ransomware directamente en los sistemas comprometidos.

Descargas no autorizadas: el ransomware se puede entregar a través de descargas no autorizadas, donde el malware se descarga e instala automáticamente en el sistema de la víctima sin su consentimiento o conocimiento cuando visita sitios web comprometidos o maliciosos.

Publicidad maliciosa: los ciberdelincuentes pueden distribuir ransomware a través de anuncios maliciosos (publicidad maliciosa) mostrados en sitios web legítimos. Al hacer clic en estos anuncios, se puede redirigir a los usuarios a sitios web que alojan ransomware o iniciar descargas automáticas de cargas útiles de ransomware.

Ejecución remota de código (RCE): las vulnerabilidades en aplicaciones web o software de servidor se pueden aprovechar para ejecutar código arbitrario de forma remota. Los atacantes pueden aprovechar las vulnerabilidades de RCE para implementar ransomware en servidores o dispositivos en red.

Redes para compartir archivos: el ransomware puede propagarse a través de redes de intercambio de archivos peer-to-peer (P2P) o recursos compartidos de red comprometidos. Los archivos infectados compartidos a través de estas redes pueden provocar la propagación del ransomware a otros usuarios o dispositivos conectados a la red.