RedAlert (N13V) Ransomware
RedAlert (N13V) Ransomware er en multi-platform malware, der retter sig mod data fra sine ofre. Windows-versionen af malwaren spores som RedALert, mens N13V er specifikt designet til at være aktiv på Linux VMware ESXi-servere. Som de fleste ransomware-angreb låser truslen de data, der findes på de overtrådte systemer, ved at bruge en kryptografisk algoritme, der ikke kan knækkes. Hver behandlet fil vil have en ny filtypenavn, bestående af '.crypt' efterfulgt af et bestemt nummer tilføjet til dets oprindelige navn. Når alle målrettede filtyper er blevet krypteret, vil RedAlert (N13V) Ransomware oprette en ny tekstfil på den inficerede enhed.
Navnet 'HOW_TO_RESTORE.txt', formålet med filen er at levere en løsesum med instruktioner fra angriberne. RedAlert (N13V) Ransomwares budskab indikerer tydeligt, at dets operatører for det meste retter sig mod virksomhedsenheder. Det afslører også, at angriberne kører en dobbelt-afpresningsordning. Tilsyneladende indsamler trusselsaktørerne udover at låse ofrets filer også forskellige fortrolige data, såsom kontrakter, finansielle dokumenter, kontoudtog, medarbejder- og kundedata osv. Al indsamlet information eksfiltreres til en ekstern server, hvor hackerne truer med at frigive det til offentligheden, hvis de ikke bliver kontaktet af ofrene inden for 72 timer.
Truslen leder ofre til at besøge hackerens dedikerede hjemmeside, der er hostet på Tor-netværket. Siden vil angiveligt give ofre mulighed for at sende et par krypterede filer, der skal låses op gratis, betale den krævede løsesum og modtage et specialiseret dekrypteringsværktøj. Selvfølgelig er kommunikation med cyberkriminelle i sagens natur risikabelt og kan udsætte offeret for yderligere privatlivs- eller sikkerhedsproblemer.
Hele sæt instruktioner leveret via tekstfilen er:
'Hej,
Dit netværk blev trængt ind
Vi har krypteret dine filer og stjålet store mængder følsomme data, herunder:NDA-kontrakter og data
Finansielle dokumenter, lønsedler, kontoudtog
Medarbejderdata, personlige dokumenter, SSN, DL, CC
Kundedata, kontrakter, købsaftaler mv.
Legitimationsoplysninger til lokale og eksterne enheder
Og mere…
Kryptering er en reversibel proces, dine data kan nemt gendannes med vores hjælp
Vi tilbyder dig at købe speciel dekrypteringssoftware, betaling inkluderer dekryptering, nøgle til det og sletning af stjålne data
Hvis du forstår alvoren af denne sag og er klar til at samarbejde med os, skal du følge de næste trin:
1) Download TOR Browser fra hxxps://torproject.org
2) Installer og start TOR Browser
3) Besøg vores webside: hxxx://gwvueqclwkz3h7u75cks2wmrwymg3qemfyoyqs7vexkx7lhlteagmsyd.onion
På vores webside vil du være i stand til at købe decryptor, chatte med vores support og dekryptere nogle få filer gratis
Hvis du ikke kontakter os inden for 72 timer, vil vi begynde at offentliggøre stjålne data i vores blog del for del, DDoS-side for din virksomhed og ringe til medarbejdere i din virksomhed
Vi har analyseret den økonomiske dokumentation af din virksomhed, så vi vil tilbyde dig den passende pris
For at undgå tab af data og øgede ekstraomkostninger:
1) Rediger ikke indholdet af de krypterede filer
2) Informer ikke de lokale myndigheder om denne hændelse før udløbet af vores aftale
3) Lad være med at hyre inddrivelsesfirmaer til at forhandle med os
Vi garanterer, at vores dialog forbliver privat, og at tredjeparter aldrig vil vide om vores aftaleREALERT UNIK IDENTIFIKATION START'
