RedAlert (N13V) рансъмуер
Ransomware RedAlert (N13V) е многоплатформен злонамерен софтуер, който е насочен към данните на своите жертви. Windows версията на зловреден софтуер се проследява като RedALert, докато N13V е специално проектиран да бъде активен на Linux VMware ESXi сървъри. Подобно на повечето атаки на рансъмуер, заплахата заключва данните, открити в нарушените системи, като използва неразбиваем криптографски алгоритъм. Всеки обработен файл ще има ново разширение, състоящо се от „.crypt“, последвано от определено число, добавено към оригиналното му име. Когато всички целеви типове файлове са шифровани, рансъмуерът RedAlert (N13V) ще създаде нов текстов файл на заразеното устройство.
Наречен „HOW_TO_RESTORE.txt“, целта на файла е да достави бележка за откуп с инструкции от нападателите. Съобщението на RedAlert (N13V) Ransomware ясно показва, че неговите оператори са насочени най-вече към корпоративни субекти. Той също така разкрива, че нападателите управляват схема за двойно изнудване. Очевидно освен заключването на файловете на жертвата, участниците в заплахата също събират различни поверителни данни, като договори, финансови документи, банкови извлечения, данни за служители и клиенти и т.н. Цялата събрана информация се ексфилтрира към отдалечен сървър, като хакерите заплашват да освободят на обществеността, ако жертвите не се свържат с тях в рамките на 72 часа.
Заплахата насочва жертвите към посещение на специализирания уебсайт на хакера, хостван в мрежата Tor. Предполага се, че сайтът ще позволи на жертвите да изпратят няколко криптирани файла, които да бъдат отключени безплатно, да платят искания откуп и да получат специализиран инструмент за дешифриране. Разбира се, комуникацията с киберпрестъпниците по своята същност е рискова и може да изложи жертвата на допълнителни проблеми с поверителността или сигурността.
Целият набор от инструкции, доставени чрез текстовия файл, е:
'Здравейте,
Вашата мрежа беше проникната
Криптирахме вашите файлове и откраднахме голямо количество чувствителни данни, включително:NDA договори и данни
Финансови документи, ведомости за заплати, банкови извлечения
Данни за служители, лични документи, SSN, DL, CC
Клиентски данни, договори, договори за покупка и др.
Идентификационни данни за локални и отдалечени устройства
И още…
Шифроването е обратим процес, вашите данни могат лесно да бъдат възстановени с наша помощ
Предлагаме ви да закупите специален софтуер за декриптиране, като плащането включва декриптор, ключ за него и изтриване на откраднати данни
Ако разбирате цялата сериозност на това решение и сте готови да си сътрудничите с нас, следвайте следващите стъпки:
1) Изтеглете TOR браузъра от hxxps://torproject.org
2) Инсталирайте и стартирайте TOR Browser
3) Посетете нашата уеб страница: hxxx://gwvueqclwkz3h7u75cks2wmrwymg3qemfyoyqs7vexkx7lhlteagmsyd.onion
На нашата уеб страница ще можете да закупите декриптор, да разговаряте с нашата поддръжка и да дешифрирате няколко файла безплатно
Ако не се свържете с нас до 72 часа, ние ще започнем да публикуваме откраднати данни в нашия блог част по част, DDoS сайт на вашата компания и ще се обаждаме на служители на вашата компания
Анализирахме финансовата документация на вашата компания, за да ви предложим подходящата цена
За да избегнете загуба на данни и увеличаване на допълнителните разходи:
1) Не променяйте съдържанието на криптираните файлове
2) Не информирайте местните власти за този инцидент преди края на нашата сделка
3) Не наемайте компании за възстановяване, за да преговарят с нас
Ние гарантираме, че нашият диалог ще остане личен и трети страни никога няма да научат за нашата сделкаREDALERT УНИКАЛЕН ИДЕНТИФИКАТОР СТАРТ'
