BackMyData Ransomware

BackMyData est une menace de ransomware qui a attiré l'attention des chercheurs en cybersécurité. Selon leur analyse détaillée, cette menace présente la capacité de rendre un large éventail de types de fichiers entièrement inaccessibles grâce à l’utilisation d’algorithmes de cryptage robustes. L’impact s’étend au-delà du cryptage, car les noms de fichiers originaux des fichiers concernés subissent des modifications substantielles. La menace ajoute l'identifiant d'une victime, une adresse e-mail (« backmydata@skiff.com ») et l'extension « .backmydata » au nom de chaque fichier modifié. Cela se traduit par une transformation distinctive, illustrée par des changements tels que « 1.png » devenant « 1.jpg.id[9ECFA74E-3511].[backmydata@skiff.com].backmydata » et « 2.pdf » se transformant en « 2 ». .pdf.id[9ECFA74E-3511].[backmydata@skiff.com].backmydata», entre autres.

Les victimes de BackMyData se retrouvent confrontées à deux demandes de rançon présentées sous la forme de fichiers « info.hta » et « info.txt ». Ces notes servent de canal de communication entre les attaquants et les victimes, décrivant les demandes de rançon et les instructions pour un éventuel paiement. Notamment, la menace est identifiée comme une variante au sein de la famille Phobos Ransomware , soulignant son association avec une catégorie plus large de logiciels menaçants.

Les victimes de BackMyData voient leurs fichiers pris en otage par des cybercriminels

La demande de rançon émise par BackMyData sert de notification aux victimes, indiquant explicitement que leur réseau a été compromis et les fichiers cryptés. Il révèle également l'utilisation de tactiques de double extorsion par les cybercriminels en affirmant que des données confidentielles ont été collectées, englobant des informations relatives aux employés, aux clients, aux partenaires et à la documentation interne de l'entreprise. La note indique explicitement que toutes les données volées seront conservées jusqu'à ce que la rançon demandée soit payée.

De plus, la note lance un ultimatum, menaçant de vendre les données compromises si les négociations échouent. Il décrit les répercussions potentielles pour la victime, notamment les répercussions juridiques, les pertes financières et les dommages irréparables à sa réputation lors de la divulgation des données.

Dans une tentative stratégique de contraindre le respect des règles, les attaquants proposent une rançon réduite si la victime les contacte dans un délai spécifié. Des instructions de communication sont fournies, indiquant l'utilisation d'une plateforme de messagerie spécifique (Session) et une adresse email (backmydata@skiff.com).

De plus, la demande de rançon impose à la victime des directives strictes à suivre pour éviter tout dommage accidentel aux fichiers cryptés. Il met explicitement en garde contre l’implication de tiers ou l’utilisation de logiciels de décryptage non autorisés, soulignant la nécessité de se conformer.

Au-delà du chiffrement des fichiers, BackMyData exacerbe la menace en désactivant le pare-feu du système ciblé, augmentant ainsi sa vulnérabilité aux activités malveillantes. Il efface délibérément les copies de volume instantané, éliminant ainsi les points de restauration potentiels. De plus, BackMyData possède la capacité d'extraire des données de localisation et utilise des mécanismes de persistance. La menace peut également être configurée pour exclure de sa portée des emplacements prédéterminés.

Il est crucial de souligner que les variantes de ransomwares de la famille Phobos, y compris BackMyData, ont démontré une tendance à exploiter les vulnérabilités des services RDP (Remote Desktop Protocol) à des fins d'infection. Ils capitalisent souvent sur des identifiants de compte faibles par le biais d'attaques par force brute et par dictionnaire, obtenant ainsi un accès non autorisé à des systèmes dont la sécurité des comptes est mal gérée. Cela souligne la nécessité de renforcer les mesures de cybersécurité et la vigilance pour contrer ces menaces sophistiquées.

Une approche de sécurité robuste pourrait empêcher les menaces de ransomware d'impacter les appareils des utilisateurs

La protection des appareils contre les attaques de ransomwares implique une combinaison de mesures proactives, de bonnes pratiques en matière de cybersécurité et de vigilance. Voici quelques recommandations clés destinées aux utilisateurs pour protéger leurs appareils :

• Maintenir les logiciels et les systèmes à jour : mettez régulièrement à jour les systèmes d'exploitation, les applications logicielles et les programmes de sécurité pour corriger les vulnérabilités et vous protéger contre les exploits connus.
• Utilisez un logiciel de sécurité fiable : installez un logiciel anti-malware réputé sur les appareils pour détecter et prévenir les infections par ransomware. Gardez le logiciel de sécurité à jour pour les dernières définitions de menaces.
• Activer la protection par pare-feu : activez et maintenez un pare-feu robuste pour observer le trafic réseau entrant et sortant, ajoutant ainsi une couche de défense supplémentaire contre les accès non autorisés.
• Sauvegarder les données importantes : sauvegardez régulièrement les données critiques sur un périphérique de stockage externe hors ligne. Les solutions de sauvegarde basées sur le cloud peuvent également garantir efficacement que des contrôles d'accès et des procédures de sécurité appropriés sont en place.
• Faites preuve de vigilance avec les pièces jointes et les liens des e-mails : Soyez extrêmement vigilant lorsque vous accédez aux pièces jointes ou aux liens des e-mails, en particulier provenant de sources inconnues ou suspectes. Vérifiez la légitimité des e-mails et évitez de télécharger des fichiers à partir d'e-mails non fiables.
• Utilisez des mots de passe forts et uniques : utilisez des mots de passe forts et exclusifs pour vos comptes et réfléchissez aux avantages de l'utilisation d'un gestionnaire de mots de passe pour vous aider à générer et à gérer des mots de passe complexes. Évitez d'utiliser des mots de passe par défaut ou faciles à deviner.
• Mettre en œuvre la segmentation du réseau : la segmentation des réseaux peut aider à contenir la propagation des ransomwares en limitant leur capacité à se déplacer latéralement au sein d'un réseau. Cela limite l’impact si un segment est compromis.

En combinant ces mesures, les utilisateurs peuvent renforcer considérablement leurs défenses contre les attaques de ransomwares et minimiser l'impact potentiel sur leurs appareils et leurs données.

La demande de rançon générée par BackMyData Ransomware est :

'!!! ATTENTION !!!

Your network is hacked and files are encrypted.
Including the encrypted data we also downloaded other confidential information:
Data of your employees, customers, partners, as well as accounting and
other internal documentation of your company.

All data is stored until you will pay.
After payment we will provide you the programs for decryption and we will delete your data
We dont want did something bad to your company, it is just bussines (Our reputation is our money!)
If you refuse to negotiate with us (for any reason) all your data will be put up for sale.

What you will face if your data gets on the black market:
1) The personal information of your employees and customers may be used to obtain a loan or
purchases in online stores.
2) You may be sued by clients of your company for leaking information that was confidential.
3) After other hackers obtain personal data about your employees, social engineering will be
applied to your company and subsequent attacks will only intensify.
4) Bank details and passports can be used to create bank accounts and online wallets through
which criminal money will be laundered.
5) You will forever lose the reputation.
6) You will be subject to huge fines from the government.
You can learn more about liability for data loss here:
hxxps://en.wikipedia.org/wiki/General_Data_Protection_Regulation
hxxps://gdpr-info.eu/
Courts, fines and the inability to use important files will lead you to huge losses.
The consequences of this will be irreversible for you.
Contacting the police will not save you from these consequences, and lost data,
will only make your situation worse.

IF YOU WILL CONTACT US IN FIRST 6 hours , and we close our deal in 24 hours , PRICE WILL BE ONLY 30%.
(time is money for both of us , if you will take care about our time , we will do same , we will care of price and decryption process will be done VERY FAST)
ALL DOWNLOADED DATA WILL BE DELETED after payment.

You can get out of this situation with minimal losses (Our reputation is our money!) !!!
To do this you must strictly observe the following rules:
DO NOT Modify, DO NOT rename, DO NOT copy, DO NOT move any files.
Such actions may DAMAGE them and decryption will be impossible.
DO NOT use any third party or public decryption software, it may also DAMAGE files.
DO NOT Shutdown or Reboot the system this may DAMAGE files.
DO NOT hire any third party negotiators (recovery/police, etc.)
You need to contact us as soon as possible and start negotiations.

You can send us 1-2 small data not value files for test , we will decrypt it and send it to you back.
After payment we need no more that 2 hours to decrypt all of your data. We will be support you untill fully decryption going to be done! ! !
(Our reputation is our money!)

Instructions for contacting our team:
Download the (Session) messenger (hxxps://getsession.org) in messenger 05947063ab6603c0e3a12db53d93d23634081c56390ff2084d11977820f78ce877

MAIL:backmydata@skiff.com'