ALPHV Ransomware

ALPHV रैंसमवेयर इस प्रकार के सबसे परिष्कृत खतरों में से एक प्रतीत होता है और इसलिए इसे जारी करने के लिए खतरनाक ऑपरेशन जिम्मेदार है। इस विशेष रैंसमवेयर खतरे की खोज इन्फोसेक के शोधकर्ताओं ने की थी, जो इसे ब्लैककैट नाम से भी ट्रैक करते हैं। यह खतरा अत्यधिक अनुकूलन योग्य है, यहां तक कि तकनीक-प्रेमी साइबर अपराधियों को भी इसकी विशेषताओं को समायोजित करने और प्लेटफार्मों के एक बड़े समूह के खिलाफ हमले शुरू करने की अनुमति नहीं देता है।

ALPHV का ऑपरेशन

ALPHV रैनसमवेयर को इसके निर्माता रूसी भाषी हैकर मंचों पर प्रचारित कर रहे हैं। ऐसा प्रतीत होता है कि खतरा रास (रैंसमवेयर-ए-ए-सर्विस) योजना में पेश किया गया है, जिसमें मैलवेयर के संचालक इच्छुक सहयोगियों की भर्ती करना चाहते हैं जो वास्तविक हमलों और नेटवर्क उल्लंघनों का प्रदर्शन करेंगे। बाद में, पीड़ितों से फिरौती के भुगतान के रूप में प्राप्त धन को शामिल पक्षों के बीच विभाजित किया जाएगा।

ALPHV रचनाकारों द्वारा लिया गया प्रतिशत फिरौती के सटीक योग पर आधारित है। 1.5 मिलियन डॉलर तक की फिरौती के भुगतान के लिए, वे फंड का 20% रखेंगे, जबकि $1.5 और $ 3 मिलियन के बीच भुगतान के लिए उन्हें 15% की कटौती मिलेगी। यदि सहयोगी 3 मिलियन डॉलर से अधिक की फिरौती प्राप्त करने का प्रबंधन करते हैं, तो उन्हें 90% धन रखने की अनुमति होगी।

माना जाता है कि हमला अभियान कम से कम नवंबर 2021 से सक्रिय है। अब तक ALPHV रैनसमवेयर के पीड़ितों की पहचान अमेरिका, ऑस्ट्रेलिया और भारत में की गई है।

टेक्निकल डिटेल

ALPHV रैनसमवेयर रस्ट प्रोग्रामिंग भाषा का उपयोग करके लिखा गया है। मैलवेयर डेवलपर्स के बीच जंग एक आम पसंद नहीं है, लेकिन इसकी विशेषताओं के कारण कर्षण प्राप्त कर रहा है। खतरे में घुसपैठ की कार्यक्षमता का एक मजबूत सेट है। यह हमलावरों की प्राथमिकताओं के आधार पर 4 अलग-अलग एन्क्रिप्शन रूटीन करने में सक्षम है। यह 2 अलग-अलग क्रिप्टोग्राफ़िक एल्गोरिदम - CHACHA20 और AES का भी उपयोग करता है। रैंसमवेयर आभासी वातावरण के लिए स्कैन करेगा और उन्हें मारने का प्रयास करेगा। यह पुनर्प्राप्ति को रोकने के लिए किसी भी ESXi स्नैपशॉट को स्वचालित रूप से मिटा देगा।

जितना संभव हो उतना नुकसान पहुंचाने के लिए, ALPHV सक्रिय अनुप्रयोगों की प्रक्रियाओं को मार सकता है जो इसके एन्क्रिप्शन में हस्तक्षेप कर सकते हैं, उदाहरण के लिए लक्षित फ़ाइल को खोलकर। खतरा वीम, बैकअप सॉफ्टवेयर उत्पादों, माइक्रोसॉफ्ट एक्सचेंज, एमएस ऑफिस, मेल क्लाइंट, लोकप्रिय वीडियो गेम स्टोर स्टीम, डेटाबेस सर्वर आदि की प्रक्रियाओं को समाप्त कर सकता है। इसके अलावा, ALPHV रैनसमवेयर पीड़ित की फाइलों की शैडो वॉल्यूम कॉपी को हटा देगा, सिस्टम में रीसायकल बिन को साफ करें, अन्य नेटवर्क उपकरणों के लिए स्कैन करें, और Microsoft क्लस्टर से कनेक्ट करने का प्रयास करें।

यदि उपयुक्त डोमेन क्रेडेंशियल के साथ कॉन्फ़िगर किया गया है, तो ALPHV खुद को भंग किए गए नेटवर्क से जुड़े अन्य उपकरणों में भी फैला सकता है। खतरा PSExec को% Temp% फ़ोल्डर में निकाल देगा और फिर पेलोड को अन्य उपकरणों पर कॉपी करने के लिए आगे बढ़ेगा। हर समय, हमलावर कंसोल-आधारित यूजर इंटरफेस के माध्यम से संक्रमण की प्रगति की निगरानी कर सकते हैं।

फिरौती नोट और मांगें

सहयोगी अपनी पसंद के अनुसार खतरे को संशोधित कर सकते हैं। वे उपयोग किए गए फ़ाइल एक्सटेंशन, फिरौती नोट, पीड़ित के डेटा को एन्क्रिप्ट करने का तरीका, कौन से फ़ोल्डर या फ़ाइल एक्सटेंशन को बाहर रखा जाएगा और बहुत कुछ अनुकूलित कर सकते हैं। फिरौती नोट स्वयं एक टेक्स्ट फ़ाइल के रूप में इस पैटर्न का अनुसरण करते हुए एक नाम के साथ वितरित किया जाएगा - 'RECOVER-[extension]-FILES.txt।' फिरौती के नोट प्रत्येक पीड़ित के लिए बनाए जाएंगे। अब तक पीड़ितों को निर्देश दिया गया है कि वे बिटकॉइन या मोनेरो क्रिप्टोकरेंसी का उपयोग करके हैकर्स को भुगतान कर सकते हैं।हालांकि, बिटकॉइन भुगतान के लिए हैकर्स 15% कर जोड़ेंगे।

कुछ फिरौती नोटों में एक समर्पित टीओआर लीक साइट के लिंक और हमलावरों के संपर्क के लिए एक अन्य स्वयं के लिंक भी शामिल हैं। वास्तव में, ALPHV अपने पीड़ितों को वहां संग्रहीत डेटा को एन्क्रिप्ट करने से पहले संक्रमित उपकरणों से महत्वपूर्ण फाइलें एकत्र करने वाले साइबर अपराधियों के साथ भुगतान करने के लिए कई जबरन वसूली रणनीति का उपयोग करता है। अगर उनकी मांगें पूरी नहीं की जाती हैं, तो हैकर्स जनता को जानकारी प्रकाशित करने की धमकी देते हैं। पीड़ितों को यह भी चेतावनी दी जाती है कि भुगतान करने से इनकार करने पर उन पर DDoS हमले किए जाएंगे।

पीड़ितों के साथ बातचीत को निजी रखने और साइबर सुरक्षा विशेषज्ञों की जासूसी करने से रोकने के लिए, ALPHV ऑपरेटरों ने --access-token=[access_token] कमांड-लाइन तर्क लागू किया है। हैकर की टीओआर वेबसाइट पर बातचीत चैट फ़ंक्शन में प्रवेश करने के लिए आवश्यक एक्सेस कुंजी के निर्माण में टोकन का उपयोग किया जाता है।

ALPHV रैंसमवेयर अत्यधिक परिष्कृत सुविधाओं और कई ऑपरेटिंग सिस्टम को संक्रमित करने की क्षमता के साथ एक अत्यंत हानिकारक खतरा है। इसे सभी विंडोज 7 सिस्टम और उच्चतर, ESXI, डेबियन, उबंटू, रेडीएनएएस और सिनोलॉजी पर निष्पादित किया जा सकता है।