ALPHV Ransomware
ALPHV Ransomware näyttää olevan yksi tämän tyyppisistä kehittyneimmistä uhista, ja niin on myös sen vapauttamisesta vastuussa oleva uhkaava toiminta. Infosec-tutkijat havaitsivat tämän kiristysohjelmauhan, joka myös jäljittää sitä BlackCat-nimellä. Uhka on erittäin muokattavissa, joten jopa ei niin tekniikkaa ymmärtämättömät kyberrikolliset voivat säätää sen ominaisuuksia ja käynnistää hyökkäyksiä useita alustoja vastaan.
Sisällysluettelo
ALPHV:n operaatio
Sen tekijät mainostavat ALPHV Ransomwarea venäjänkielisillä hakkerifoorumeilla. Uhka näyttää tarjoutuvan RaaS-järjestelmässä (Ransomware-as-a-Service), jossa haittaohjelmien operaattorit haluavat rekrytoida halukkaita tytäryhtiöitä, jotka suorittavat varsinaiset hyökkäykset ja verkkorikkomukset. Myöhemmin uhreilta lunnaiksi saadut rahat jaetaan asianosaisten kesken.
ALPHV:n tekijöiden ottama prosenttiosuus perustuu lunnaiden tarkkaan summaan. Jopa 1,5 miljoonan dollarin lunnaiden maksuista he pitävät 20 prosenttia varoista, kun taas 1,5–3 miljoonan dollarin maksuista he saavat 15 prosentin leikkauksen. Jos tytäryhtiöt onnistuvat saamaan yli 3 miljoonan dollarin lunnaat, ne saavat pitää 90 % rahoista.
Hyökkäyskampanjan uskotaan olleen aktiivinen ainakin marraskuusta 2021 lähtien. Toistaiseksi ALPHV Ransomwaren uhreja on tunnistettu Yhdysvalloissa, Australiassa ja Intiassa.
Tekniset yksityiskohdat
ALPHV Ransomware on kirjoitettu käyttämällä Rust-ohjelmointikieltä. Ruoste ei ole yleinen valinta haittaohjelmien kehittäjien keskuudessa, mutta se on saamassa vetovoimaa ominaisuuksiensa vuoksi. Uhka sisältää vankan joukon häiritseviä toimintoja. Se pystyy suorittamaan 4 erilaista salausrutiinia hyökkääjien mieltymysten perusteella. Se käyttää myös kahta erilaista salausalgoritmia - CHACHA20 ja AES. Kiristysohjelma etsii virtuaaliympäristöjä ja yrittää tappaa ne. Se myös pyyhkii automaattisesti kaikki ESXi-vedoskuvat palautumisen estämiseksi.
Aiheuttaakseen mahdollisimman paljon vahinkoa ALPHV voi tappaa aktiivisten sovellusten prosessit, jotka voivat häiritä sen salausta, esimerkiksi pitämällä kohdistetun tiedoston auki. Uhka voi lopettaa Veeamin, varmuuskopiointiohjelmistotuotteiden, Microsoft Exchangen, MS Officen, sähköpostiohjelmien, suositun videopelikaupan Steamin, tietokantapalvelimien jne. prosessit. Lisäksi ALPHV Ransomware poistaa uhrin tiedostojen Shadow Volume Copies -kopiot, puhdista järjestelmän roskakori, etsi muita verkkolaitteita ja yritä muodostaa yhteys Microsoft-klusteriin.
Jos ALPHV on määritetty oikeilla verkkotunnuksen valtuustiedoilla, se voi jopa levittää itsensä muihin laitteisiin, jotka on kytketty rikkoutuneeseen verkkoon. Uhka purkaa PSExecin %Temp%-kansioon ja jatkaa sitten hyötykuorman kopioimista muihin laitteisiin. Koko ajan hyökkääjät voivat seurata tartunnan etenemistä konsolipohjaisen käyttöliittymän kautta.
Ransom Note and Demands
Yhteistyökumppanit voivat muokata uhkaa mieltymystensä mukaan. He voivat muokata käytettyä tiedostopäätettä, lunnaita, tapaa, jolla uhrin tiedot salataan, mitkä kansiot tai tiedostopäätteet suljetaan pois ja paljon muuta. Itse lunnaat toimitetaan tekstitiedostona, jonka nimi seuraa tätä mallia - "RECOVER-[extension]-FILES.txt". Lunnassetelit räätälöidään jokaisen uhrin mukaan. Toistaiseksi uhreille on kerrottu, että he voivat maksaa hakkereille joko Bitcoin- tai Monero- kryptovaluutoilla.Bitcoin-maksuille hakkerit lisäävät kuitenkin 15 % veron.
Jotkin lunnaat sisältävät myös linkkejä erityiselle TOR-vuotosivustolle ja toiselle omalle, jotta voit ottaa yhteyttä hyökkääjiin. ALPHV todellakin käyttää useita kiristystaktiikoita saadakseen uhrinsa maksamaan kyberrikollisille, jotka keräävät tärkeitä tiedostoja tartunnan saaneilta laitteilta ennen kuin salaavat niihin tallennetut tiedot. Jos heidän vaatimuksiaan ei täyty, hakkerit uhkaavat julkaista tiedot yleisölle. Uhreja varoitetaan myös siitä, että he joutuvat DDoS-hyökkäyksiin, jos he kieltäytyvät maksamasta.
Pitääkseen neuvottelut uhrien kanssa yksityisinä ja estääkseen kyberturvallisuuden asiantuntijoita nuuskimasta ympäriinsä, ALPHV-operaattorit ovat ottaneet käyttöön komentoriviargumentin --access-token=[access_token]. Tunnusta käytetään pääsyavaimen luomiseen, joka tarvitaan pääsyyn neuvotteluchat-toimintoon hakkerin TOR-verkkosivustolla.
ALPHV Ransomware on äärimmäisen haitallinen uhka, jolla on erittäin kehittyneitä ominaisuuksia ja kyky tartuttaa useita käyttöjärjestelmiä. Se voidaan suorittaa kaikissa Windows 7 -järjestelmissä ja uudemmissa, ESXI:ssä, Debianissa, Ubuntussa, ReadyNASissa ja Synologyssa.
