RedAlert (N13V) Ransomware
El RedAlert (N13V) Ransomware és un programari maliciós multiplataforma que s'adreça a les dades de les seves víctimes. La versió de Windows del programari maliciós es fa un seguiment com a RedALert, mentre que N13V està dissenyat específicament per estar actiu als servidors Linux VMware ESXi. Com la majoria dels atacs de ransomware, l'amenaça bloqueja les dades que es troben als sistemes violats mitjançant un algorisme criptogràfic que no es pot trencar. Cada fitxer processat tindrà una nova extensió, que constarà de '.crypt' seguit d'un nombre determinat afegit al seu nom original. Quan s'hagin xifrat tots els tipus de fitxers orientats, el ransomware RedAlert (N13V) crearà un fitxer de text nou al dispositiu infectat.
Anomenat "HOW_TO_RESTORE.txt", l'objectiu del fitxer és lliurar una nota de rescat amb instruccions dels atacants. El missatge de RedAlert (N13V) Ransomware indica clarament que els seus operadors es dirigeixen principalment a entitats corporatives. També revela que els atacants estan executant un esquema de doble extorsió. Pel que sembla, a més de bloquejar els fitxers de la víctima, els actors de l'amenaça també recullen diverses dades confidencials, com ara contractes, documents financers, extractes bancaris, dades d'empleats i clients, etc. Tota la informació recollida s'exfiltra a un servidor remot, i els pirates informàtics amenacen amb llançar-los al públic si no són contactats per les víctimes en un termini de 72 hores.
L'amenaça dirigeix les víctimes a visitar el lloc web dedicat del pirata informàtic allotjat a la xarxa Tor. El lloc suposadament permetrà a les víctimes enviar un parell de fitxers xifrats per desbloquejar-los de forma gratuïta, pagar el rescat demanat i rebre una eina de desxifrat especialitzada. Per descomptat, la comunicació amb els ciberdelinqüents és intrínsecament arriscada i podria exposar la víctima a problemes addicionals de privadesa o seguretat.
Tot el conjunt d'instruccions lliurades a través del fitxer de text és:
'Hola,
La teva xarxa ha estat penetrada
Hem xifrat els vostres fitxers i hem robat una gran quantitat de dades sensibles, com ara:Contractes i dades de NDA
Documents financers, nòmines, extractes bancaris
Dades dels empleats, documents personals, SSN, DL, CC
Dades de clients, contractes, contractes de compra, etc.
Credencials per a dispositius locals i remots
I més…
El xifratge és un procés reversible, les vostres dades es poden recuperar fàcilment amb la nostra ajuda
T'oferim la compra d'un programari especial de desxifrat, el pagament inclou desxifrador, clau i esborrat de dades robades
Si enteneu tota la gravetat d'aquesta succió i esteu preparats per cooperar amb nosaltres, seguiu els passos següents:
1) Baixeu el navegador TOR des de hxxps://torproject.org
2) Instal·leu i inicieu el navegador TOR
3) Visiteu la nostra pàgina web: hxxx://gwvueqclwkz3h7u75cks2wmrwymg3qemfyoyqs7vexkx7lhlteagmsyd.onion
A la nostra pàgina web podreu comprar un desxifrador, xatejar amb el nostre suport i desxifrar alguns fitxers de forma gratuïta
Si no us poseu en contacte amb nosaltres en 72h començarem a publicar dades robades al nostre bloc part per part, lloc DDoS de la vostra empresa i trucarem als empleats de la vostra empresa
Hem analitzat la documentació financera de la teva empresa per tal que t'oferim el preu adequat
Per evitar la pèrdua de dades i l'augment dels costos addicionals:
1) No modifiqueu el contingut dels fitxers xifrats
2) No informeu les autoritats locals sobre aquest incident abans del final del nostre acord
3) No contracteu empreses de recuperació per negociar amb nosaltres
Garantim que el nostre diàleg continuarà sent privat i que els tercers mai no sabran del nostre acordREDALERT UNIQUE IDENTIFIER START'
