RedAlert (N13V) Ransomware
RedAlert (N13V) Ransomware on monen alustan haittaohjelma, joka kohdistuu uhrien tietoihin. Haittaohjelman Windows-versiota seurataan nimellä RedALert, kun taas N13V on erityisesti suunniteltu aktiiviseksi Linux VMware ESXi -palvelimilla. Kuten useimmat kiristysohjelmahyökkäykset, uhka lukitsee rikotuista järjestelmistä löydetyt tiedot käyttämällä murtumatonta salausalgoritmia. Jokaisella käsitellyllä tiedostolla on uusi tunniste, joka koostuu '.crypt':stä, jota seuraa tietty numero liitettynä sen alkuperäiseen nimeen. Kun kaikki kohdistetut tiedostotyypit on salattu, RedAlert (N13V) Ransomware luo uuden tekstitiedoston tartunnan saaneelle laitteelle.
HOW_TO_RESTORE.txt-nimisen tiedoston tarkoituksena on toimittaa lunnaat, joka sisältää ohjeita hyökkääjiltä. RedAlert (N13V) Ransomwaren viesti osoittaa selvästi, että sen operaattorit kohdistavat enimmäkseen yrityskokonaisuuksia. Se paljastaa myös, että hyökkääjät harjoittavat kaksinkertaista kiristysjärjestelmää. Ilmeisesti uhrin tiedostojen lukitsemisen lisäksi uhkatekijät keräävät myös erilaisia luottamuksellisia tietoja, kuten sopimuksia, talousasiakirjoja, tiliotteita, työntekijä- ja asiakastietoja jne. Kaikki kerätyt tiedot suodatetaan etäpalvelimelle, jolloin hakkerit uhkaavat vapauttaa yleisölle, jos uhrit eivät ota heihin yhteyttä 72 tunnin kuluessa.
Uhka ohjaa uhrit vierailemaan hakkerin verkkosivustolla, jota isännöi Tor-verkko. Sivuston uskotaan antavan uhreille mahdollisuuden lähettää pari salattua tiedostoa avattavaksi ilmaiseksi, maksaa vaaditun lunnaat ja saada erikoisen salauksenpurkutyökalun. Tietenkin kommunikointi kyberrikollisten kanssa on luonnostaan riskialtista ja voi altistaa uhrin lisäyksityisyyteen tai tietoturvaongelmiin.
Koko tekstitiedoston kautta toimitettu ohjesarja on:
'Hei,
Verkkosi tunkeutui
Olemme salaaneet tiedostosi ja varastaneet suuren määrän arkaluontoisia tietoja, mukaan lukien:NDA-sopimukset ja tiedot
Talousasiakirjat, palkkalaskelmat, tiliotteet
Työntekijätiedot, henkilöasiakirjat, SSN, DL, CC
Asiakastiedot, sopimukset, ostosopimukset jne.
Kirjautumistiedot paikallisiin ja etälaitteisiin
Ja enemmän…
Salaus on palautuva prosessi, tietosi voidaan helposti palauttaa avullamme
Tarjoamme sinulle erikoissalauksenpurkuohjelmiston ostamisen, maksu sisältää salauksen purkuohjelman, avaimen siihen ja varastettujen tietojen poiston
Jos ymmärrät tämän väitteen vakavuuden ja olet valmis tekemään yhteistyötä kanssamme, noudata seuraavia vaiheita:
1) Lataa TOR-selain osoitteesta hxxps://torproject.org
2) Asenna ja käynnistä TOR-selain
3) Vieraile verkkosivullamme: hxxx://gwvueqclwkz3h7u75cks2wmrwymg3qemfyoyqs7vexkx7lhlteagmsyd.onion
Verkkosivullamme voit ostaa salauksenpurkuohjelman, keskustella tukimme kanssa ja purkaa muutamia tiedostoja ilmaiseksi
Jos et ota meihin yhteyttä 72 tunnin kuluessa, alamme julkaista varastettuja tietoja blogissamme osa kerrallaan, yrityksesi DDoS-sivustolla ja soittaa yrityksesi työntekijöille
Olemme analysoineet yrityksesi talousasiakirjat, joten tarjoamme sinulle sopivan hinnan
Vältä tietojen menetys ja lisäkustannusten nousu:
1) Älä muokkaa salattujen tiedostojen sisältöä
2) Älä ilmoita paikallisille viranomaisille tästä tapauksesta ennen sopimuksen päättymistä
3) Älä palkkaa talteenottoyrityksiä neuvottelemaan kanssamme
Takaamme, että keskustelumme pysyy yksityisenä ja kolmannet osapuolet eivät koskaan saa tietää kaupastammeREDALERT ERIKOISTUNNISTEEN ALOITUS'
