ALPHV Ransomware
ALPHV Ransomware изглежда е сред най-сложните заплахи от този тип, както и заплашващата операция, отговорна за освобождаването му. Тази конкретна заплаха за рансъмуер беше открита от изследователите на infosec, които също я проследяват под името BlackCat. Заплахата е много адаптивна, което позволява дори на не толкова технически разбиращи киберпрестъпници да коригират нейните функции и да стартират атаки срещу голям набор от платформи.
Съдържание
Операцията на ALPHV
ALPHV Ransomware се популяризира от неговите създатели на рускоезични хакерски форуми. Изглежда, че заплахата се предлага в схема RaaS (Ransomware-as-a-Service), като операторите на зловредния софтуер се стремят да наемат желаещи филиали, които да извършват действителните атаки и пробиви в мрежата. След това парите, получени от жертвите като плащания на откуп, ще бъдат разделени между замесените страни.
Процентът, взет от създателите на ALPHV, се основава на точната сума на откупа. За плащания на откуп, достигащи до 1,5 милиона долара, те ще запазят 20% от средствата, докато за плащания между 1,5 и 3 милиона долара ще получат 15% намаление. Ако филиалите успеят да получат откуп от над 3 милиона долара, ще им бъде позволено да задържат 90% от парите.
Смята се, че кампанията за атака е активна поне от ноември 2021 г. Досега жертви на ALPHV Ransomware са идентифицирани в САЩ, Австралия и Индия.
Технически подробности
ALPHV Ransomware е написан с езика за програмиране Rust. Ръждата не е често срещан избор сред разработчиците на зловреден софтуер, но набира популярност поради своите характеристики. Заплахата включва силен набор от натрапчиви функции. Той е в състояние да изпълнява 4 различни процедури за криптиране въз основа на предпочитанията на нападателите. Освен това използва 2 различни криптографски алгоритма - CHACHA20 и AES. Рансъмуерът ще сканира за виртуални среди и ще се опита да ги убие. Той също така автоматично ще изтрие всички ESXi моментни снимки, за да предотврати възстановяването.
За да нанесе възможно най-много щети, ALPHV може да убие процесите на активните приложения, които биха могли да попречат на неговото криптиране, например като поддържа целеви файл отворен. Заплахата може да прекрати процесите на Veeam, софтуерни продукти за архивиране, Microsoft Exchange, MS Office, пощенски клиенти, популярния магазин за видеоигри Steam, сървъри на бази данни и др. почистете кошчето в системата, сканирайте за други мрежови устройства и опитайте да се свържете с клъстер на Microsoft.
Ако е конфигуриран с подходящите идентификационни данни за домейн, ALPHV може дори да се разпространи до други устройства, свързани към нарушената мрежа. Заплахата ще извлече PSExec в папката %Temp% и след това ще продължи да копира полезния товар на другите устройства. През цялото време нападателите могат да наблюдават напредъка на инфекцията чрез потребителски интерфейс, базиран на конзола.
Бележка за откуп и искания
Партньорите могат да променят заплахата според своите предпочитания. Те могат да персонализират използваното файлово разширение, бележка за откуп, начина, по който ще бъдат криптирани данните на жертвата, кои папки или разширения на файлове ще бъдат изключени и др. Самата бележка за откуп ще бъде доставена като текстов файл с име, следващо този модел - 'RECOVER-[extension]-FILES.txt.' Бележките за откуп ще бъдат съобразени с всяка жертва. Досега жертвите са били инструктирани, че могат да плащат на хакерите с помощта на криптовалути Bitcoin или Monero.За плащанията с биткойн обаче хакерите ще добавят 15% данък.
Някои бележки за откуп също включват връзки към специален сайт за изтичане на TOR и друг собствен за контакт с нападателите. Всъщност ALPHV използва множество тактики за изнудване, за да накара жертвите си да плащат с киберпрестъпниците, събиращи важни файлове от заразените устройства, преди да криптират данните, съхранявани там. Ако исканията им не бъдат изпълнени, хакерите заплашват да публикуват информацията пред обществеността. Жертвите също са предупредени, че ще бъдат подложени на DDoS атаки при отказ да платят.
За да запазят преговорите с жертвите поверителни и да попречат на експертите по киберсигурност да се ровят наоколо, операторите на ALPHV са внедрили аргумент от командния ред --access-token=[access_token]. Токенът се използва при създаването на ключ за достъп, необходим за влизане във функцията за чат за преговори на уебсайта TOR на хакера.
ALPHV Ransomware е изключително вредна заплаха с изключително сложни функции и способност да заразява множество операционни системи. Може да се изпълнява на всички Windows 7 и по-нови системи, ESXI, Debian, Ubuntu, ReadyNAS и Synology.
