DoNex ransomware

Los investigadores de seguridad de la información (infosec) identificaron una variante de ransomware conocida como DoNex durante un examen exhaustivo de posibles amenazas de malware. Este ransomware está diseñado con el objetivo principal de cifrar los datos almacenados en los dispositivos comprometidos. Los ciberdelincuentes emplean este software dañino para bloquear los datos de las víctimas, con la intención de aprovecharlo como medio de extorsión para obtener ganancias monetarias.

Tras una infiltración exitosa, DoNex Ransomware se comunica con los usuarios u organizaciones afectados presentando una nota de rescate, generalmente denominada "Léame.[VICTIM_ID].txt". Además, la amenaza altera los nombres de todos los archivos cifrados añadiendo su propia extensión única, que sirve como ID de la víctima específica. Por ejemplo, un archivo originalmente llamado '1.doc' se transforma en '1.doc.f58A66B61', mientras que '2.pdf' se convierte en '2.pdf.f58A66B61', y así sucesivamente.

El ransomware DoNex causa graves daños a los dispositivos infectados

La nota de rescate asociada con DoNex Ransomware comienza con una advertencia que alerta a la víctima de la presencia de la amenaza DoNex y le transmite que sus datos han sido cifrados. Los atacantes presentan un ultimátum, indicando que el incumplimiento de las demandas de rescate resultará en la publicación de los datos de la víctima en un sitio web TOR. Para facilitar el acceso, la nota proporciona un enlace para descargar el navegador Tor, una herramienta necesaria para navegar por el sitio web especificado.

En un intento por mitigar algunas preocupaciones, la nota afirma que el grupo que busca rescate no está impulsado por motivos políticos sino que sólo busca ganancias financieras. La víctima tiene la seguridad de que, tras el pago, los ciberdelincuentes le proporcionarán programas de descifrado y eliminarán los datos comprometidos, lo que subraya la importancia de que las víctimas mantengan su reputación.

Para establecer un grado de confianza, la nota ofrece una oferta para descifrar un archivo de forma gratuita, lo que permite a la víctima verificar la eficacia del proceso de descifrado. También se proporciona información de contacto, incluida una identificación Tox, una dirección de correo electrónico en 'donexsupport@onionmail.org' y una nota de advertencia contra la eliminación o modificación de archivos, ya que tales acciones podrían dañar los archivos. La nota concluye con una amenaza, advirtiendo sobre posibles ataques futuros a la empresa de la víctima si el rescate sigue sin pagarse.

Es imperativo que las víctimas se resistan a sucumbir a las demandas de rescate, ya que no hay garantía de que los atacantes cumplan su promesa de proporcionar herramientas de descifrado incluso después de recibir el pago del rescate. Además, es esencial eliminar rápidamente el ransomware de los ordenadores comprometidos. Esto no sólo reduce el riesgo de un mayor cifrado, sino que también ayuda a frenar la posible propagación del ransomware a otras computadoras dentro de la misma red. Es fundamental tener en cuenta que eliminar la amenaza de ransomware no restablece automáticamente el acceso a archivos y datos que ya se han cifrado.

Adopte un enfoque de seguridad sólido en todos los dispositivos

Para proteger las máquinas y los datos de los ataques de ransomware, se recomienda encarecidamente a los usuarios que implementen un conjunto integral de medidas destinadas a la prevención, detección y mitigación. Aquí hay recomendaciones clave:

• Instale y actualice software de seguridad : emplee software antimalware confiable para detectar y bloquear ransomware. Mantenga el software de seguridad actualizado para garantizar la protección contra las últimas amenazas.
• Actualice periódicamente los sistemas operativos y el software : actualice rápidamente los sistemas operativos, las aplicaciones y el software para corregir las vulnerabilidades que podrían ser explotadas por el ransomware.
• Tenga precaución con los correos electrónicos : evite abrir correos electrónicos de fuentes desconocidas o sospechosas. Abstenerse de interactuar con enlaces o descargar archivos adjuntos de correos electrónicos no solicitados.
• Realice copias de seguridad de datos periódicamente : realice copias de seguridad periódicas de información importante en un dispositivo externo o en un servicio seguro en la nube. Asegúrese de que las copias de seguridad se almacenen sin conexión o con acceso restringido para evitar que se vean comprometidas por ransomware.
• Utilice medidas de seguridad de la red : emplee firewalls, sistemas de detección/prevención de intrusiones y redes Wi-Fi seguras para protegerse contra el acceso no autorizado y la propagación de ransomware.
• Habilite la autenticación de dos factores (2FA) : implemente 2FA cada vez que pueda para reforzar su seguridad, dificultando el acceso de usuarios no autorizados.
• Educar y capacitar a los usuarios : educar a los usuarios sobre los riesgos de los ataques de phishing y las tácticas de ingeniería social utilizadas por los ciberdelincuentes. Proporcionar capacitación sobre cómo reconocer y reportar amenazas potenciales.
• Limite los privilegios del usuario : restrinja los permisos de los usuarios solo al nivel necesario para sus funciones, minimizando el impacto de una posible infección de ransomware.

Al combinar estas medidas, los usuarios pueden crear una defensa sólida contra los ataques de ransomware, reduciendo el riesgo de infección y minimizando el impacto potencial en sus dispositivos y datos.

La nota de rescate de DoNex Ransomware es:

'!!! DoNex ransomware warning !!!

Your data are stolen and encrypted

The data will be published on TOR website if you do not pay the ransom

Links for Tor Browser:

What guarantees that we will not deceive you?

We are not a politically motivated group and we do not need anything other than your money.

If you pay, we will provide you the programs for decryption and we will delete your data.

If we do not give you decrypters, or we do not delete your data after payment, then nobody will pay us in the future.

Therefore to us our reputation is very important. We attack the companies worldwide and there is no dissatisfied victim after payment.

You need contact us and decrypt one file for free on these TOR sites with your personal DECRYPTION ID

Download and install TOR Browser hxxps://www.torproject.org/
Write to a chat and wait for the answer, we will always answer you.

You can install qtox to contanct us online hxxps://tox.chat/download.html
Tox ID Contact: 2793D009872AF80ED9B1A461F7B9BD6209 744047DC1707A42CB622053716AD4BA624193606C9

Mail (OnionMail) Support: donexsupport@onionmail.org

Warning! Do not DELETE or MODIFY any files, it can lead to recovery problems!

Warning! If you do not pay the ransom we will attack your company repeatedly again!'