ALPHV Ransomware

يبدو أن ALPHV Ransomware من بين التهديدات الأكثر تعقيدًا من هذا النوع وكذلك عملية التهديد المسؤولة عن إطلاقه. تم اكتشاف تهديد برنامج الفدية هذا من قبل الباحثين في تقنية المعلومات ، والذين قاموا أيضًا بتتبعه تحت اسم BlackCat. التهديد قابل للتخصيص بدرجة كبيرة مما يسمح حتى لمجرمي الإنترنت غير المتمرسين بالتكنولوجيا بتعديل ميزاته وشن هجمات ضد مجموعة كبيرة من المنصات.

عملية ALPHV

يتم الترويج لـ ALPHV Ransomware من قبل المبدعين في منتديات القراصنة الناطقة باللغة الروسية. يبدو أن التهديد مقدم في مخطط RaaS (Ransomware-as-a-Service) مع مشغلي البرامج الضارة الذين يتطلعون إلى تجنيد المنتسبين الراغبين الذين سيقومون بتنفيذ الهجمات الفعلية وخروقات الشبكة. بعد ذلك ، سيتم تقسيم الأموال المستلمة من الضحايا كدفعة فدية بين الأطراف المعنية.

النسبة المئوية التي حصل عليها منشئو ALPHV تعتمد على المبلغ الدقيق للفدية. بالنسبة لمدفوعات الفدية التي تصل إلى 1.5 مليون دولار ، سيحتفظون بنسبة 20٪ من الأموال ، بينما بالنسبة للمدفوعات التي تتراوح بين 1.5 و 3 ملايين دولار ، سيحصلون على خصم بنسبة 15٪. إذا تمكنت الشركات التابعة من الحصول على فدية تزيد عن 3 ملايين دولار ، فسيُسمح لها بالاحتفاظ بـ 90٪ من الأموال.

يُعتقد أن حملة الهجوم نشطة منذ نوفمبر 2021 على الأقل. حتى الآن تم التعرف على ضحايا ALPHV Ransomware في الولايات المتحدة وأستراليا والهند.

تفاصيل تقنية

تمت كتابة ALPHV Ransomware باستخدام لغة البرمجة Rust. الصدأ ليس خيارًا شائعًا بين مطوري البرامج الضارة ولكنه يكتسب قوة دفع بسبب خصائصه. يتميز التهديد بمجموعة قوية من الوظائف المتطفلة. إنه قادر على أداء 4 إجراءات تشفير مختلفة بناءً على تفضيلات المهاجمين. كما أنه يستخدم خوارزميتين مختلفتين للتشفير - CHACHA20 و AES. سوف تفحص برامج الفدية البيئات الافتراضية وتحاول القضاء عليها. سيقوم أيضًا بمسح أي لقطات ESXi تلقائيًا لمنع الاسترداد.

لإلحاق أكبر قدر ممكن من الضرر ، يمكن لـ ALPHV أن تقتل عمليات التطبيقات النشطة التي يمكن أن تتداخل مع تشفيرها ، على سبيل المثال عن طريق الاحتفاظ بملف مستهدف مفتوحًا. يمكن أن يؤدي التهديد إلى إنهاء عمليات Veeam ومنتجات برامج النسخ الاحتياطي و Microsoft Exchange و MS Office وعملاء البريد ومتجر ألعاب الفيديو الشهير Steam وخوادم قاعدة البيانات وما إلى ذلك. علاوة على ذلك ، ستحذف ALPHV Ransomware نسخ Shadow Volume من ملفات الضحية ، قم بتنظيف سلة المحذوفات في النظام ، وابحث عن أجهزة الشبكة الأخرى ، وحاول الاتصال بمجموعة Microsoft.

إذا تم تكوينه باستخدام بيانات اعتماد المجال المناسبة ، فيمكن لـ ALPHV نشر نفسه إلى الأجهزة الأخرى المتصلة بالشبكة المخترقة. سيقوم التهديد باستخراج PSExec إلى المجلد٪ Temp٪ ثم متابعة نسخ الحمولة إلى الأجهزة الأخرى. طوال الوقت ، يمكن للمهاجمين مراقبة تقدم العدوى عبر واجهة مستخدم قائمة على وحدة التحكم.

مذكرة الفدية والمطالبات

يمكن للمسوقين بالعمولة تعديل التهديد وفقًا لتفضيلاتهم. يمكنهم تخصيص امتداد الملف المستخدم وملاحظة الفدية والطريقة التي سيتم بها تشفير بيانات الضحية والمجلدات أو امتدادات الملفات التي سيتم استبعادها والمزيد. سيتم تسليم مذكرة الفدية نفسها كملف نصي باسم يتبع هذا النمط - "RECOVER- [extension] -FILES.txt." سوف تكون مذكرات الفدية مصممة لكل ضحية. تم توجيه تعليمات للضحايا حتى الآن بأنه يمكنهم الدفع للمتسللين باستخدام عملات Bitcoin أو Monero cryptocurrencies.ومع ذلك ، بالنسبة لمدفوعات Bitcoin ، سيضيف المتسللون ضريبة بنسبة 15٪.

تتضمن بعض ملاحظات الفدية أيضًا روابط إلى موقع تسريب TOR مخصص وآخر خاص للاتصال بالمهاجمين. في الواقع ، تستخدم ALPHV أساليب ابتزاز متعددة لجعل ضحاياها يدفعون مع مجرمي الإنترنت الذين يجمعون ملفات مهمة من الأجهزة المصابة قبل تشفير البيانات المخزنة هناك. إذا لم يتم تلبية مطالبهم ، يهدد المتسللون بنشر المعلومات للجمهور. يتم تحذير الضحايا أيضًا من أنهم سيتعرضون لهجمات DDoS عند رفض الدفع.

للحفاظ على خصوصية المفاوضات مع الضحايا ومنع خبراء الأمن السيبراني من التطفل ، قام مشغلو ALPHV بتنفيذ حجة سطر الأوامر --access-token = [access_token]. يتم استخدام الرمز المميز في إنشاء مفتاح وصول ضروري للدخول إلى وظيفة دردشة التفاوض على موقع TOR الخاص بالمخترق.

يعد ALPHV Ransomware تهديدًا ضارًا للغاية مع ميزات متطورة للغاية وقدرة على إصابة أنظمة تشغيل متعددة. يمكن تنفيذه على جميع أنظمة Windows 7 والإصدارات الأحدث ، ESXI و Debian و Ubuntu و ReadyNAS و Synology.