RADAR Ransomware

Proteger sus dispositivos de amenazas de malware es crucial en la era digital actual. Un tipo de malware particularmente dañino, el ransomware, plantea riesgos importantes al cifrar archivos y exigir un pago por descifrarlos. Comprender y protegerse contra tales amenazas es esencial tanto para las personas como para las organizaciones.

El ransomware RADAR: descripción general

Los investigadores han identificado una nueva amenaza de ransomware llamada RADAR. Este software amenazante está diseñado específicamente para cifrar archivos en dispositivos infectados y luego exigir un rescate por descifrarlos. El modus operandi del ransomware RADAR incluye cifrar archivos y agregar a sus nombres una cadena de caracteres aleatoria, transformando, por ejemplo, '1.png' en '1.png.W8M8ePNp'.

Comportamiento posterior a la ejecución

Una vez que el ransomware se ejecuta en un dispositivo comprometido, realiza una serie de acciones dañinas:

• Cifrado de archivos : RADAR cifra los archivos de la víctima y cambia sus nombres añadiendo una cadena aleatoria de caracteres.
• Alteración del escritorio : el ransomware modifica el fondo de pantalla del escritorio para señalar la infección.
• Creación de nota de rescate : se genera una nota de rescate titulada 'README_FOR_DECRYPT.txt', que informa a la víctima sobre el cifrado y el robo de datos.

Detalles de la nota de rescate

La nota de rescate es explícita en sus demandas y amenazas. Comienza informando a la víctima que sus archivos han sido cifrados y luego advierte que los datos recopilados se filtrarán si no se paga el rescate. Para subrayar la seriedad de su afirmación, la nota incluye detalles sobre los ataques anteriores y las filtraciones de datos de los ciberdelincuentes. Las víctimas pueden probar el descifrado de entre 5 y 10 archivos antes de pagar el rescate. Además, la nota advierte a las víctimas que no deben cambiar el nombre, modificar o eliminar los archivos bloqueados, ya que tales acciones podrían imposibilitar el descifrado. Además, amenaza con que contactar a las autoridades resultará en la divulgación automática de los datos exfiltrados. Por último, la nota desaconseja buscar ayuda de empresas de recuperación de terceros, afirmando que esto aumentará las pérdidas financieras.

Desafíos en el descifrado

Los investigadores destacan la dificultad de descifrar archivos sin la ayuda de los ciberdelincuentes. La mayoría de los ransomware, incluido RADAR, están diseñados para ser muy resistentes a los intentos de descifrado, a menos que el atacante proporcione las claves necesarias. Incluso pagar el rescate es arriesgado, porque los atacantes rara vez cumplen su promesa de enviar las herramientas de descifrado.

Para evitar un mayor cifrado de datos, es fundamental eliminar RADAR Ransomware del sistema operativo. Sin embargo, la eliminación no restaura los archivos ya cifrados.

Medidas de seguridad para protegerse contra el ransomware

Para proteger sus dispositivos de ransomware como RADAR, es esencial implementar las siguientes medidas de seguridad:

• Copias de seguridad periódicas : realice copias de seguridad periódicas de todos los datos importantes en una unidad externa o servicio en la nube para asegurarse de que pueda restaurar archivos sin pagar un rescate.
• Actualizar software : preserva el sistema operativo y las aplicaciones actualizadas con los últimos parches de seguridad.
• Herramientas antimalware : utilice programas antimalware acreditados para revelar y congelar un ransomware antes de que pueda causar daño.
• Vigilancia del correo electrónico : tenga cuidado con los archivos adjuntos y enlaces de correo electrónico, especialmente de remitentes desconocidos, ya que son vectores comunes para la distribución de ransomware.
• Seguridad de la red : implemente sólidas medidas de seguridad de la red, incluidos firewalls, para evitar el acceso no autorizado.
• Educación del usuario : eduque a los empleados y usuarios sobre los riesgos del ransomware y otros tipos de malware, y la importancia de las prácticas seguras en línea.
• Controles de acceso : Regule el acceso de los usuarios a sistemas y datos críticos para minimizar el impacto potencial de un ataque de ransomware.

Al tomar estas precauciones, los usuarios pueden reducir significativamente las posibilidades de infecciones de ransomware y proteger sus valiosos datos de los ciberdelincuentes.

El texto completo de la nota de rescate dejada a las víctimas de RADAR Ransomware es:

'RADAR

Your network has been breached and all major data were encrypted.
Important files have been downloaded from your servers and are ready to be published on TOR blogs.

To decrypt all the data and prevent exfiltrated files to be disclosed on TOR blogs, dataleak forums, dataleak databases, telegram channels etc with lot of tags/videos on twitter/facebook you should purchase our decryption tool. We will provide you a proof video how our Decryption Tool works.

Please contact our sales department at Skype: [redacted]
We appreciate and respect everyone, that's why in Skype you will get a proof, we will record a video of 5-10 files of your choice.

Follow the guidelines below to avoid losing your data:

Do not modify, rename or delete encrypted files. In result your data will be undecryptable.

Do not modify or rename encrypted files. You will lose them.

Do not report to the Police, FBI, etc. They don't care about your business. They simply won't allow you to pay. As a result you will lose everything and your data, recorded data on videos etc will be published.

Do not hire a recovery company. They can't decrypt files without our Decryption Tool. They also don't care about your business. They believe that they are good negotiators, but it is not. They usually fail. You should contact with us yourself and we'll guarantee you 10077BCB65CA365CF885446C7CB6B4ABA99uccessful decryption without any loss + exfiltrated data erasing from our servers.

Do not reject to purchase RADAR Decryptor from us, otherwise exfiltrated files will be publicly disclosed with video of files.

P.S. Do not repeat the same mistakes as other companies did with us, for example our old case with a small Spain Company: [redacted] Their Website - [redacted]
Our media team published files and videos, because they didn't pay as in time. Small part of proofs:
[redacted]
[redacted]
[redacted]
[redacted]
Lot of telegram channels like [redacted] , [redacted] , all darkweb resources list from here - [redacted]

We have a direct contact with a list of ransomware owners in jabber and tox, you can see all the companies that refused to cooperate with us, TOR/onion URLs: hxxp://xb6q2aggycmlcrjtbj[redacted]sqb4nx6cmod3emy7sad.onion
hxxp://mbrlkbtq5jonaqkurj[redacted]4rgjbkkknndqwae6byd.onion
hxxp://bianlianlbc5an4kgn[redacted]gczopmm3dnbz3uaunad.onion/
hxxp://alphvmmm27o3abo3r2[redacted]5xsj7j7ejksbpsa36ad.onion
htxxp://knight3xppu263m7g4[redacted]h7vjdc3zrscqlfu3pqd.onion/

For [redacted] we hired 3rd party team of data analysts with OSINT-specialists. Because of adding such 3rd parties, the price for Decryption Tool and exfiltrated data erasing has been increased. In result they suffered significant problems due disastrous consequences, leading to loss of valuable intellectual property and other sensitive information, GDPR issues, costly incident response efforts, information misuse/abuse, loss of customer trust, brand and reputational damage, legal and regulatory issues. And it will never end for them, as their files are constantly downloaded and videos are viewed by people from all over the World.
That's why we don't recommend to ignore us.

Let's respect each others time.
With best Regards, RADAR'