Pegasus Ransomware crittografa le unità di sistema della vittima

Il nostro team si è imbattuto in Pegasus, un programma ransomware, mentre esaminava i nuovi esempi di file inviati. Quando abbiamo eseguito un campione di Pegasus sulla nostra macchina di prova, ha crittografato i file e modificato i loro nomi.

I nomi dei file originali sono stati estesi con una stringa di caratteri casuale, ad esempio "1.jpg" è diventato "1.jpg.tBC8M" e "2.png" è diventato "2.png.qGuj7". Dopo aver completato il processo di crittografia, è stata depositata una richiesta di riscatto denominata "Ghost_ReadMe.txt".

La richiesta di riscatto avvisa la vittima che i suoi file sono inaccessibili a causa della crittografia. Assicura loro che possono recuperare i propri dati acquistando lo strumento di decrittazione dagli aggressori. L'importo del riscatto è specificato come $ 350 in criptovaluta Bitcoin. Dopo il pagamento, alla vittima viene chiesto di fornire la prova della transazione, dopodiché le viene promesso di ricevere la chiave di decrittazione.

La richiesta di riscatto di Pegasus richiede $ 350 in pagamento

Il testo completo del file "Ghost_ReadMe.txt" generato dal ransomware Pegasus è il seguente:

Oops, Your Files Have Been Encrypted!
We Have Encrypted Your Data With The Strongest.
You Don't Need to worry.

All of your files have been encrypted
Your computer was infected with a ransomware virus. Your files have been encrypted and you won't
be able to decrypt them without our help.

What can I do to get my files back? You can buy the decrypter.
it will leave your pc as it was before the encryption.

How Can I Decrypt Files?

1. You Can Buy Crypto Here: hxxps://www.coinmama.com/
2. Send $350 To Bitcoin Wallet address: 16JpyqQJ6z1GbxJNztjUnepXsqee3SBz75
3. Send Proof of Transaction to Our Email Address to Get a Decryption Tool and Private Key
4. Contact Our email address: ransom.data@gmail.com

Note: Do Not Use Third Party Decryption Tools

Quali sono i vettori di attacco più comuni utilizzati dai ransomware?

Il ransomware può infiltrarsi nei sistemi attraverso vari vettori di attacco, ma alcuni dei più comuni includono:

E-mail di phishing: gli aggressori spesso distribuiscono ransomware tramite e-mail di phishing contenenti allegati o collegamenti dannosi. Queste e-mail possono impersonare entità o organizzazioni legittime, invogliando i destinatari a fare clic su collegamenti o scaricare allegati che contengono payload ransomware.

Siti Web dannosi: il ransomware può essere distribuito attraverso siti Web dannosi o siti Web legittimi compromessi. Visitare tali siti o fare clic su annunci dannosi può portare al download e all'esecuzione automatica del ransomware sul sistema della vittima.

Kit di exploit: i criminali informatici sfruttano le vulnerabilità nel software o nei sistemi operativi utilizzando kit di exploit per diffondere ransomware. Questi kit prendono di mira le vulnerabilità note a cui non sono state risolte le patch, consentendo agli aggressori di ottenere accesso non autorizzato ai sistemi e distribuire ransomware.

Remote Desktop Protocol (RDP): gli aggressori possono forzare le credenziali RDP o sfruttare password deboli per ottenere accesso non autorizzato ai sistemi da remoto. Una volta entrati, possono distribuire il ransomware direttamente sui sistemi compromessi.

Download drive-by: il ransomware può essere distribuito tramite download drive-by, in cui il malware viene automaticamente scaricato e installato sul sistema della vittima senza il suo consenso o la sua conoscenza quando visita siti Web compromessi o dannosi.

Malvertising: i criminali informatici possono distribuire ransomware tramite pubblicità dannose (malvertising) visualizzate su siti Web legittimi. Facendo clic su questi annunci è possibile reindirizzare gli utenti a siti Web che ospitano ransomware o avviare download automatici dei payload del ransomware.

Remote Code Execution (RCE): le vulnerabilità nelle applicazioni web o nel software server possono essere sfruttate per eseguire codice arbitrario in remoto. Gli aggressori possono sfruttare le vulnerabilità RCE per distribuire ransomware su server o dispositivi di rete.

Reti di condivisione file: il ransomware può diffondersi attraverso reti di condivisione file peer-to-peer (P2P) o condivisioni di rete compromesse. I file infetti condivisi attraverso queste reti possono portare alla diffusione del ransomware ad altri utenti o dispositivi connessi alla rete.