Cos'è il ransomware Brain Cipher??
I file vengono crittografati, Sul desktop o nelle cartelle interessate è presente una richiesta di riscatto., e tutto ciò che ha una nuova estensione è ora inaccessibile. Devi agire in modo intelligente adesso, non solo in fretta. Leggi attentamente questo articolo prima di fare qualsiasi cosa., perché le decisioni che prenderai nei prossimi minuti potranno influenzare significativamente le tue opzioni di recupero. La guida in fondo è il tuo prossimo passo.
Brain Cipher è un ceppo di ransomware sofisticato emerso a metà del 2024 e diventato rapidamente una delle minacce ransomware più importanti del 2024 e 2025. Si basa su LockBit trapelato 3.0 codice sorgente — collocandolo nella stessa linea di discendenza tecnica di alcuni dei ransomware più distruttivi della storia. Brain Cipher ha raggiunto la notorietà globale a giugno 2024 quando ha attaccato con successo il Centro dati nazionale indonesiano (PDN), crittografare i dati governativi e interrompere i servizi per oltre 200 agenzie governative: uno dei più significativi attacchi ransomware alle infrastrutture governative nazionali mai documentati. Gli aggressori inizialmente hanno chiesto un $8 milioni di riscatto prima che il gruppo Brain Cipher rilasciasse finalmente un gratuito chiave di decrittazione per il governo indonesiano dopo una significativa pressione pubblica. Brain Cipher continua a operare come un famiglia ransomware mirato alle organizzazioni del settore privato a livello globale, con attacchi documentati nel settore sanitario, educazione, e servizi finanziari.
Panoramica sul ransomware Brain Cipher
| Tipo | Ransomware basato su LockBit 3.0 / Doppia operazione di estorsione. Notevole per il 2024 Attacco al centro dati nazionale indonesiano. Aggiunge estensioni personalizzate ai file crittografati. Compatibile con ambienti Windows ed ESXi.. |
| Sintomi | File crittografati con estensione personalizzata aggiunta e completamente inaccessibili. richiesta di riscatto (HOW_TO_UNLOCK.txt o simili) rilasciato sul desktop e in ogni cartella interessata. Copie shadow del volume eliminate. Strumenti di sicurezza disabilitati o interferiti con. Lo sfondo è stato cambiato con un messaggio di riscatto.. Possibile esfiltrazione di dati prima del completamento della crittografia. |
| Tempo di rimozione | Circa 15 minuti per una scansione completa del sistema |
| Strumento di rimozione | Verifica se il tuo sistema è stato interessato da malware
Scarica
Strumento di rimozione malware
|
Come ha fatto il ransomware Brain Cipher a entrare??
Gli operatori di Brain Cipher sono pazienti, attaccanti metodici che in genere trascorrono giorni all'interno di una rete prima di attivare la crittografia. Ecco i vettori di accesso iniziali documentati:
- Email di phishing con allegati dannosi — Mirato phishing email contenenti allegato malevolos — fatture false, file di documenti, o i download degli archivi sono il principale vettore di accesso iniziale. Malspam Le campagne mirate a settori specifici vengono utilizzate per fornire il caricatore iniziale.
- Sfruttamento delle vulnerabilità esposte a Internet — Gli operatori di Brain Cipher sfruttano attivamente le vulnerabilità note nelle infrastrutture esposte a Internet.. L'attacco PDN indonesiano ha sfruttato una vulnerabilità di Microsoft Windows Defender. Ogni non patchato vulnerabilità zero-day Nei vostri sistemi esposti è presente un potenziale punto di accesso per Brain Cipher..
- Credenziali RDP e VPN compromesse — I server Remote Desktop Protocol esposti a Internet e i dispositivi VPN non aggiornati vengono sfruttati utilizzando credenziali rubate o ottenute tramite attacchi di forza bruta., fornire agli aggressori accesso diretto alla rete per movimenti laterali utilizzando strumenti come Cobalt Strike.
- Pacchetto software e download automatici — Per utenti individuali e organizzazioni di piccole dimensioni, scaricamento Gratuito da fonti non ufficiali attraverso bundling software rimane un vettore di consegna per il componente di caricamento iniziale.
Cosa fa il ransomware Brain Cipher??
Brain Cipher è un ransomware che applica una doppia estorsione a tutti gli effetti.. Ecco la catena di attacco completa:
- Ricognizione e movimento laterale — Dopo aver ottenuto l'accesso iniziale, gli operatori mappano la rete, raccogliere le credenziali utilizzando Mimikatz, e identificare i server di backup, controller di dominio, e repository di dati critici. La crittografia viene attivata solo dopo aver raggiunto il posizionamento di danno massimo..
- Esfiltrazione di dati per doppia estorsione — Prima che qualsiasi file venga crittografato, I dati sensibili vengono esfiltrati silenziosamente nell'infrastruttura di Brain Cipher.. Questi dati rubati vengono poi minacciati di essere pubblicati sul loro sito di diffusione sul dark web se il riscatto non viene pagato, fornendo due leve estorsive simultanee anche se la vittima dispone di backup funzionanti..
- Crittografia dei file tramite LockBit 3.0 motore — Il ransomware utilizza LockBit 3.0 cifra combinazione crittografia AES e La crittografia RSA per bloccare i file. A ogni file crittografato viene aggiunta un'estensione personalizzata e un richiesta di riscatto viene posizionato in ogni directory interessata con le istruzioni di contatto di Tor Browser. Il chiave di decrittazione è detenuto esclusivamente dagli aggressori.
- Elusione della difesa e distruzione di supporto — Le copie shadow del volume vengono eliminate tramite i comandi WMIC., I processi di backup sono disabilitati, Gli strumenti di sicurezza vengono neutralizzati utilizzando tecniche BYOVD, e chiave di registro Le voci vengono modificate per la persistenza. Il ransomware contatta un remoto C&Server di C coordinare l'attacco ed esfiltrare la chiave di crittografia.
È stato rilasciato un decrittatore gratuito limitato per la variante dell'attacco al governo indonesiano, ma questo non si applica a tutte le varianti di Brain Cipher o agli attacchi successivi.. Prima di prendere in considerazione altre opzioni, controlla sempre il sito nomoreransom.org per verificare se esiste un decrittatore gratuito per la tua specifica variante.. Non pagare il riscatto senza aver prima consultato un esperto nella gestione degli incidenti..
Che cosa si deve fare?
Isolare immediatamente dalla rete ogni sistema interessato.. NON riavviare le macchine crittografate. Conservare tutte le prove forensi, inclusa la richiesta di riscatto e qualsiasi campione di malware.. Carica un campione dei tuoi file crittografati e la nota di riscatto su id-ransomware.malwarehunterteam.com per confermare l'esatta variante di Brain Cipher e verificare la disponibilità della decrittazione.. Consulta il sito nomoreransom.org per verificare la disponibilità di eventuali decrittatori gratuiti.. Segnalare alla CISA, Il sito web dell'FBI IC3 è ic3.gov., e le autorità nazionali competenti. Segui la guida completa alla rimozione e al ripristino riportata di seguito per ottenere i migliori risultati..
Ventsislav Krastev
Da allora Ventsislav è un esperto di sicurezza informatica di SensorsTechForum 2015. Ha fatto ricerche, copertura, aiutare le vittime con le ultime infezioni da malware oltre a testare e rivedere il software e gli ultimi sviluppi tecnologici. Avendo Marketing laureato pure, Ventsislav ha anche la passione per l'apprendimento di nuovi turni e innovazioni nella sicurezza informatica che diventano un punto di svolta. Dopo aver studiato la gestione della catena del valore, Amministrazione di rete e amministrazione di computer delle applicazioni di sistema, ha trovato la sua vera vocazione nel settore della cibersicurezza ed è un convinto sostenitore dell'educazione di ogni utente verso la sicurezza online.
Seguimi: