ALPHV Ransomware
ALPHV Ransomware ser ud til at være blandt de mest sofistikerede trusler af denne type, og det samme er den truende operation, der er ansvarlig for at frigive den. Denne særlige ransomware-trussel blev opdaget af infosec-forskerne, som også sporer den under BlackCat-navnet. Truslen er meget tilpasselig, hvilket giver selv ikke så teknologikyndige cyberkriminelle mulighed for at justere dens funktioner og iværksætte angreb mod et stort sæt platforme.
Indholdsfortegnelse
ALPHVs drift
ALPHV Ransomware promoveres af dets skabere på russisktalende hackerfora. Truslen ser ud til at blive tilbudt i en RaaS (Ransomware-as-a-Service)-ordning, hvor operatørerne af malwaren søger at rekruttere villige tilknyttede virksomheder, som vil udføre de faktiske angreb og netværksbrud. Bagefter vil pengene modtaget fra ofrene som løsesum blive delt mellem de involverede parter.
Den procentdel, som ALPHV-skaberne tager, er baseret på den nøjagtige sum af løsesummen. For løsepengebetalinger, der når op til $1,5 millioner, vil de beholde 20% af midlerne, mens de for betalinger mellem $1,5 og $3 millioner vil få en nedskæring på 15%. Hvis tilknyttede selskaber formår at modtage en løsesum på mere end $3 millioner, får de lov til at beholde 90% af pengene.
Angrebskampagnen menes at være aktiv siden mindst november 2021. Indtil videre er ofre for ALPHV Ransomware blevet identificeret i USA, Australien og Indien.
Tekniske detaljer
ALPHV Ransomware er skrevet ved hjælp af Rust-programmeringssproget. Rust er ikke et almindeligt valg blandt malware-udviklere, men vinder indpas på grund af dets egenskaber. Truslen har et robust sæt af påtrængende funktioner. Den er i stand til at udføre 4 forskellige krypteringsrutiner baseret på angribernes præferencer. Den bruger også 2 forskellige kryptografiske algoritmer - CHACHA20 og AES. Ransomwaren vil scanne for virtuelle miljøer og forsøge at dræbe dem. Det vil også automatisk slette alle ESXi-snapshots for at forhindre gendannelse.
For at påføre så meget skade som muligt, kan ALPHV dræbe processerne i aktive applikationer, der kan forstyrre kryptering, for eksempel ved at holde en målrettet fil åben. Truslen kan afslutte processerne i Veeam, backupsoftwareprodukter, Microsoft Exchange, MS Office, mailklienter, den populære videospilbutik Steam, databaseservere osv. Desuden vil ALPHV Ransomware slette Shadow Volume Copies af offerets filer, rengør papirkurven i systemet, scan efter andre netværksenheder, og forsøg at oprette forbindelse til en Microsoft-klynge.
Hvis den er konfigureret med de relevante domæneoplysninger, kan ALPHV endda sprede sig selv til andre enheder, der er tilsluttet det brudte netværk. Truslen vil udpakke PSExec til mappen %Temp% og derefter fortsætte med at kopiere nyttelasten til de andre enheder. Alt imens kan angriberne overvåge infektionens fremskridt via en konsolbaseret brugergrænseflade.
Løsepengenotatet og krav
Tilknyttede selskaber kan ændre truslen i henhold til deres præferencer. De kan tilpasse den brugte filtypenavn, løsesumseddel, måden ofrets data bliver krypteret på, hvilke mapper eller filtypenavne der vil blive udelukket og mere. Selve løsesumsedlen vil blive leveret som en tekstfil med et navn efter dette mønster - 'RECOVER-[extension]-FILES.txt.' Løsesedlerne vil blive skræddersyet til hvert offer. Hidtil er ofrene blevet instrueret i, at de kan betale hackerne ved at bruge enten Bitcoin- eller Monero-kryptovalutaerne.For Bitcoin-betalinger vil hackerne dog tilføje en skat på 15 %.
Nogle løsesumsedler inkluderer også links til et dedikeret TOR-lækagested og et andet eget til kontakt med angriberne. ALPHV bruger faktisk flere afpresningstaktikker for at få sine ofre til at betale med cyberkriminelle, der indsamler vigtige filer fra de inficerede enheder, før de krypterer de data, der er gemt der. Hvis deres krav ikke bliver opfyldt, truer hackerne med at offentliggøre oplysningerne til offentligheden. Ofre advares også om, at de vil blive udsat for DDoS-angreb, når de nægter at betale.
For at holde forhandlingerne med ofrene private og forhindre cybersikkerhedseksperter i at snuse rundt, har ALPHV-operatørerne implementeret et --access-token=[access_token] kommandolinjeargument. Tokenet bruges i oprettelsen af en adgangsnøgle, der er nødvendig for at gå ind i forhandlingschatfunktionen på hackerens TOR-websted.
ALPHV Ransomware er en ekstremt skadelig trussel med meget sofistikerede funktioner og evnen til at inficere flere operativsystemer. Det kan udføres på alle Windows 7-systemer og nyere, ESXI, Debian, Ubuntu, ReadyNAS og Synology.
