Paradise ransomware: Está de volta em nova forma e é ameaçador!

O ransomware da Paradise ressurgiu, com os criminosos se escondendo atrás dele tentando novas táticas que poderiam levar a uma campanha de ransomware mais produtiva. Em particular, essa campanha de ransomware retornou de uma nova forma, com o objetivo de enganar usuários inocentes e violar sua rede com software malicioso que criptografa arquivos. De fato, é uma forma de ataque que muitas máquinas Windows podem não reconhecer como potencialmente maliciosas.

A nova versão do Paradise ransomware, que está ativa em muitas variações desde 2017, se espalha por mensagens de email e difere de outras campanhas de ransomware, pois usa um tipo de arquivo incomum, mas eficaz, para penetrar nas redes. Além disso, esta campanha usa arquivos IQY – Consulta à Internet – que são arquivos de texto lidos pelo Microsoft Excel para baixar dados da Internet. O IQY é um tipo de arquivo legítimo; muitas organizações podem não o rejeitar.

Pesquisadores da cibersegurança da Lastline descobriram uma campanha que busca espalhar o ransomware da Paradise para qualquer organização-alvo.pesquisadores de segurança cibernética de última linha para uma nova forma e campanha ransomware Paradise

Ataques com arquivos IQY são observados porque muitos sistemas automatizados não processam ou não podem analisar esses tipos de arquivos. De acordo com Richard Henderson, chefe de segurança do departamento de segurança da Lastline na ZDNet, os hackers percebem que não existem defesas fortes que possam impedir qualquer atividade maliciosa. As mensagens originais de e-phishing foram projetadas para parecerem comerciais e incentivar os usuários a abrir um anexo IQY. Se a vítima em potencial fizer isso, o arquivo IQY será vinculado ao servidor de comando e controle do hacker, que, por sua vez, eliminará um comando do PowerShell usado para executar o ransomware em uma máquina ou dispositivo. Depois que os arquivos são criptografados, a vítima é obrigada a pagar um resgate na forma de criptomoeda para que eles possam recuperar o acesso à rede.

Em um esforço para entender melhor o ataque, os investigadores tentaram entrar em contato com os cibercriminosos para negociar o acesso a um decodificador. Mas eles nunca receberam uma resposta, o que prova que a campanha atual pode estar simplesmente preparando o terreno para uma nova forma de Paraíso. Os hackers geralmente desenvolvem programas maliciosos que não são totalmente implementados em primeiro lugar, querendo ver o quão bem-sucedidas são as primeiras versões de uma nova campanha e o quão detectável é o malware pelos sistemas de segurança, disse Henderson. Ao mesmo tempo, ele ressaltou que, quando os hackers não respondem, significa que ainda estão processando os erros e tentando encontrar maneiras melhores de ganhar dinheiro.

Pesquisadores no campo da segurança cibernética lançaram uma ferramenta de descriptografia gratuita para uma forma anterior do Paraíso, mas parece que os responsáveis ​​pelos ataques estão constantemente encontrando maneiras de desenvolver as táticas a seguir. Ainda não se sabe que tipo de crime cibernético está por trás do ransomware Paradise, mas os pesquisadores observam que o ransomware não será instalado em uma máquina se detectar um ID de idioma russo, cazaque, bielorrusso, ucraniano ou tártaro.

Campanha de resgate de ransomware ParadiseO ransomware continua atingindo organizações em todo o mundo, com os cibercriminosos exigindo um resgate de centenas de milhares de dólares em bitcoin regularmente.

No entanto, uma maneira de as organizações evitarem atender aos requisitos dos cibercriminosos, mesmo que sejam vítimas de ransomware, é atualizar regularmente os backups do sistema sem uma conexão, para que, mesmo que o pior aconteça, haja espaço para melhorias. recuperação. As organizações também podem ser significativamente protegidas contra ransomware e outros ataques de malware, aplicando regularmente atualizações de segurança apropriadas, evitando assim a possibilidade de explorar vulnerabilidades de software de hackers que visam violações da rede.