ALPHV Ransomware
Zdá se, že ALPHV Ransomware patří mezi nejsofistikovanější hrozby tohoto typu a stejně tak i hrozivá operace zodpovědná za jeho uvolnění. Tuto konkrétní hrozbu ransomwaru objevili výzkumníci z infosec, kteří ji také sledují pod jménem BlackCat. Hrozba je vysoce přizpůsobitelná a umožňuje i méně technicky zdatným kyberzločincům upravit její funkce a zahájit útoky proti velkému počtu platforem.
Obsah
Provoz ALPHV
ALPHV Ransomware propagují jeho tvůrci na rusky mluvících hackerských fórech. Zdá se, že hrozba je nabízena ve schématu RaaS (Ransomware-as-a-Service), kdy provozovatelé malwaru chtějí naverbovat ochotné pobočky, které budou provádět skutečné útoky a narušení sítě. Poté budou peníze obdržené od obětí jako výkupné rozděleny mezi zúčastněné strany.
Procento přijaté tvůrci ALPHV je založeno na přesném součtu výkupného. Pro platby výkupného dosahující až 1,5 milionu dolarů si ponechá 20 % prostředků, zatímco u plateb mezi 1,5 a 3 miliony dolarů dostanou 15% snížení. Pokud se přidruženým společnostem podaří získat výkupné vyšší než 3 miliony dolarů, bude jim umožněno ponechat si 90 % peněz.
Předpokládá se, že útočná kampaň je aktivní minimálně od listopadu 2021. Oběti ALPHV Ransomware byly zatím identifikovány v USA, Austrálii a Indii.
Technické údaje
ALPHV Ransomware je napsán pomocí programovacího jazyka Rust. Rust není běžnou volbou mezi vývojáři malwaru, ale získává na popularitě díky svým vlastnostem. Hrozba obsahuje robustní sadu rušivých funkcí. Je schopen provádět 4 různé šifrovací rutiny na základě preferencí útočníků. Používá také 2 různé kryptografické algoritmy - CHACHA20 a AES. Ransomware vyhledá virtuální prostředí a pokusí se je zabít. Automaticky také vymaže všechny snímky ESXi, aby se zabránilo obnovení.
Aby ALPHV způsobil co největší škody, může zabíjet procesy aktivních aplikací, které by mohly narušit jeho šifrování, například ponecháním cíleného souboru otevřeného. Hrozba může ukončit procesy Veeamu, zálohovacích softwarových produktů, Microsoft Exchange, MS Office, poštovních klientů, oblíbeného obchodu s videohrami Steam, databázových serverů atd. Kromě toho ALPHV Ransomware odstraní stínové kopie souborů oběti, vyčistěte koš v systému, vyhledejte další síťová zařízení a pokuste se připojit ke clusteru společnosti Microsoft.
Pokud je nakonfigurován s příslušnými přihlašovacími údaji domény, může se ALPHV dokonce rozšířit na další zařízení připojená k prolomené síti. Hrozba rozbalí PSExec do složky %Temp% a poté zkopíruje datovou část do ostatních zařízení. Po celou dobu mohou útočníci sledovat průběh infekce prostřednictvím konzolového uživatelského rozhraní.
Výkupné a požadavky
Přidružené společnosti mohou hrozbu upravit podle svých preferencí. Mohou si přizpůsobit použitou příponu souboru, poznámku o výkupném, způsob, jakým budou data oběti šifrována, které složky nebo přípony souborů budou vyloučeny a další. Samotná poznámka o výkupném bude doručena jako textový soubor s názvem podle tohoto vzoru - 'RECOVER-[přípona]-FILES.txt.' Výkupné bude přizpůsobeno každé oběti. Dosud byly oběti instruovány, že mohou platit hackerům pomocí kryptoměn Bitcoin nebo Monero.Za bitcoinové platby si však hackeři připočítají 15% daň.
Některé poznámky o výkupném také obsahují odkazy na vyhrazenou stránku úniku TOR a další vlastní pro kontakt s útočníky. Společnost ALPHV skutečně používá několik vyděračských taktik, aby přiměla své oběti, aby zaplatily kyberzločincům shromažďujícím důležité soubory z infikovaných zařízení, než zašifrují data tam uložená. Pokud jejich požadavky nebudou splněny, hackeři vyhrožují zveřejněním informací veřejnosti. Oběti jsou také varovány, že budou vystaveny DDoS útokům, když odmítnou zaplatit.
Aby byla jednání s oběťmi soukromá a zabránili expertům na kybernetickou bezpečnost ve slídění kolem, operátoři ALPHV implementovali argument příkazového řádku --access-token=[access_token]. Token se používá při vytváření přístupového klíče nezbytného pro vstup do funkce vyjednávacího chatu na hackerově webu TOR.
ALPHV Ransomware je extrémně škodlivá hrozba s vysoce sofistikovanými funkcemi a schopností infikovat více operačních systémů. Lze jej spustit na všech systémech Windows 7 a vyšších, ESXI, Debian, Ubuntu, ReadyNAS a Synology.
