Intel ransomware

Los investigadores han descubierto una nueva cepa de ransomware conocida como Intel Ransomware. Este software amenazante se infiltra en los dispositivos, cifra los datos almacenados y exige un rescate a cambio del supuesto descifrado de la información comprometida.

En particular, los archivos afectados por el ransomware Intel se someten a un proceso de cambio de nombre. Los nombres de archivos originales se complementan con un identificador único asignado a la víctima, seguido de '.[intellent@ai_download_file]' y concluyen con la extensión '.intel'. A modo de ilustración, un archivo etiquetado inicialmente como '1.jpg' se transformaría en '1.jpg.id-9ECFA93E.[intellent@ai_download_file].intel' después del cifrado.

Una vez que se completa el proceso de cifrado, las víctimas encuentran notas de rescate presentadas tanto en una ventana emergente como en archivos de texto llamados 'README!.txt'. Estos archivos de texto se depositan dentro de cada carpeta cifrada y en el escritorio del sistema. El análisis del contenido de la nota de rescate revela que Intel Ransomware se dirige específicamente a empresas y emplea tácticas de doble extorsión. Además, este programa amenazador está afiliado a la familia Dharma Ransomware .

El Intel Ransomware impide que las víctimas accedan a sus propios datos

Intel Ransomware demuestra un enfoque integral al cifrar archivos locales y compartidos en red, mientras que los archivos cruciales del sistema no se ven afectados para evitar que el sistema deje de funcionar. En particular, emplea una estrategia para evitar el doble cifrado al excluir archivos bloqueados por otro ransomware. Sin embargo, este método no es infalible, ya que se basa en una lista predefinida que puede no abarcar todas las variantes conocidas de ransomware.

Además, el malware de Intel muestra sofisticación en su funcionamiento al cerrar procesos asociados con archivos que podrían estar abiertos, como lectores de archivos de texto y programas de bases de datos. Esta medida proactiva tiene como objetivo evitar conflictos entre archivos considerados "en uso", garantizando que no estén exentos del cifrado.

La familia de ransomware Dharma, a la que pertenece el malware de Intel, emplea tácticas estratégicas de infiltración y persistencia. Esto incluye apagar el firewall para facilitar la infiltración y evadir la detección. Además, las técnicas para garantizar la persistencia implican:

• Copiando el malware a la ruta %LOCALAPPDATA%.
• Registrándolo con claves de ejecución específicas.
• Configurar el inicio automático del ransomware después de cada reinicio del sistema.

Un aspecto notable de los ataques Dharma es su potencial para acciones específicas. Los programas asociados a esta familia pueden recopilar datos de geolocalización, permitiendo excepciones en sus ataques. Esta adaptabilidad implica que las infecciones pueden tener motivaciones políticas o geopolíticas, o pueden evitar intencionalmente a víctimas que probablemente no cumplan con las demandas de rescate, especialmente en regiones con condiciones económicas débiles.

Para impedir aún más los esfuerzos de recuperación, Intel Ransomware puede eliminar las instantáneas de volumen, lo que dificulta la restauración de versiones anteriores de los archivos. Según una extensa investigación sobre infecciones de ransomware, es evidente que el descifrado sin la intervención de los atacantes suele ser un desafío insuperable.

El Intel Ransomware utiliza tácticas de doble extorsión

El contenido del archivo de texto sirve como una breve notificación a la víctima, informándole que sus datos han sido cifrados y recopilados. Solicita a la víctima que establezca comunicación enviando un correo electrónico a los atacantes.

Por el contrario, el mensaje emergente proporciona información más detallada sobre la infección del ransomware. Reitera los aspectos de cifrado y robo de datos, enfatizando la urgencia de la situación. La nota de rescate advierte estrictamente que si no se contacta con los ciberdelincuentes dentro de las 24 horas o si se niega a cumplir con la demanda de rescate, el contenido robado quedará expuesto en la web oscura o su venta a competidores de la empresa de la víctima.

Para demostrar la posibilidad de recuperación, el mensaje ofrece una prueba de descifrado gratuita que se realizará en un solo archivo. También se informa explícitamente a la víctima que buscar ayuda de las empresas de recuperación podría resultar en pérdidas financieras adicionales, ya que estos intermediarios normalmente imponen tarifas que se agregan al monto del rescate.

Sin embargo, se observa con frecuencia que las víctimas, incluso después de cumplir con las demandas de rescate, no reciben las claves o el software de descifrado prometidos. A pesar de cumplir con los requisitos de rescate, no hay garantía de recuperación de archivos. En consecuencia, los investigadores desaconsejan enfáticamente pagar el rescate, ya que no solo no garantiza la recuperación de archivos sino que también perpetúa y respalda actividades delictivas. Además, es esencial comprender que, si bien eliminar el ransomware puede detener un mayor cifrado de datos, el proceso de eliminación no restaura automáticamente los archivos previamente comprometidos.

Intel Ransomware muestra la siguiente nota de rescate como una ventana emergente:

'intellent.ai We downloaded to our servers and encrypted all your databases and personal information!

Si no nos escribe dentro de las 24 horas, comenzaremos a publicar y vender sus datos en la red oscura en sitios de piratas informáticos y ofreceremos la información a sus competidores.
envíenos un correo electrónico: intellent.ai@onionmail.org SU ID -
Si no ha recibido respuesta dentro de las 24 horas, escriba a este correo electrónico: intellent.ai@onionmail.org

¡INFORMACIÓN IMPORTANTE!
Tenga en cuenta que una vez que sus datos aparecen en nuestro sitio de filtración, sus competidores podrían comprarlos en cualquier momento, así que no lo dude por mucho tiempo. Cuanto antes pague el rescate, antes su empresa estará a salvo.
Hemos analizado todos sus informes y los ingresos de su empresa.
Garantía: Si no le proporcionamos un descifrador o eliminamos sus datos después de pagar, nadie nos pagará en el futuro. Valoramos nuestra reputación.
Clave de garantía: para demostrar que existe la clave de descifrado, podemos probar el archivo (no la base de datos ni la copia de seguridad) de forma gratuita.
No intente descifrar sus datos utilizando software de terceros, ya que puede provocar una pérdida permanente de datos.
No recurra a empresas de recuperación: son esencialmente intermediarios. El descifrado de sus archivos con la ayuda de terceros puede causar un aumento en el precio (ellos agregan su tarifa a la nuestra). Somos los únicos que tenemos las claves de descifrado.

Los archivos de texto creados por Intel Ransomware contienen el siguiente mensaje:

¡Tus datos han sido robados y cifrados!

Envíanos un correo electrónico

intellent.ai@onionmail.org'