RedAlert (N13V) Ransomware
RedAlert (N13V) Ransomware je zlonamjerni softver za više platformi koji cilja na podatke svojih žrtava. Windows verzija zlonamjernog softvera prati se kao RedALert dok je N13V posebno dizajniran da bude aktivan na Linux VMware ESXi poslužiteljima. Kao i većina napada ransomwarea, prijetnja zaključava podatke pronađene na probijenim sustavima pomoću kriptografskog algoritma koji se ne može probiti. Svaka obrađena datoteka imat će novu ekstenziju, koja se sastoji od '.crypt' nakon čega slijedi određeni broj dodan izvornom nazivu. Kada su sve ciljane vrste datoteka šifrirane, RedAlert (N13V) Ransomware će stvoriti novu tekstualnu datoteku na zaraženom uređaju.
Nazvana 'HOW_TO_RESTORE.txt', svrha datoteke je dostaviti poruku o otkupnini s uputama od napadača. Poruka RedAlert (N13V) Ransomwarea jasno pokazuje da njegovi operateri uglavnom ciljaju na korporativne subjekte. Također otkriva da napadači vode shemu dvostrukog iznuđivanja. Očigledno, osim zaključavanja žrtvinih datoteka, akteri prijetnje prikupljaju i razne povjerljive podatke, kao što su ugovori, financijski dokumenti, bankovni izvodi, podaci o zaposlenicima i klijentima, itd. Sve prikupljene informacije eksfiltriraju se na udaljeni poslužitelj, a hakeri prijete da će ih objaviti javnosti ako ih žrtve ne kontaktiraju u roku od 72 sata.
Prijetnja usmjerava žrtve da posjete hakerovo namjensko web mjesto koje se nalazi na mreži Tor. Stranica će navodno omogućiti žrtvama da pošalju nekoliko šifriranih datoteka za besplatno otključavanje, plate traženu otkupninu i dobiju specijalizirani alat za dešifriranje. Naravno, komunikacija s kibernetičkim kriminalcima sama je po sebi rizična i mogla bi žrtvu izložiti dodatnim problemima privatnosti ili sigurnosti.
Cijeli skup uputa isporučen putem tekstualne datoteke je:
'Zdravo,
Vaša mreža je prodrla
Šifrirali smo vaše datoteke i ukrali veliku količinu osjetljivih podataka, uključujući:NDA ugovori i podaci
Financijski dokumenti, platne liste, bankovni izvodi
Podaci o zaposlenicima, osobni dokumenti, SSN, DL, CC
Podaci o kupcima, ugovori, kupoprodajni ugovori itd.
Vjerodajnice za lokalne i udaljene uređaje
I više…
Enkripcija je reverzibilan proces, vaši se podaci mogu lako vratiti uz našu pomoć
Nudimo vam kupnju posebnog softvera za dešifriranje, plaćanje uključuje dekriptor, ključ za njega i brisanje ukradenih podataka
Ukoliko shvaćate svu ozbiljnost ovog zahtjeva i spremni ste na suradnju s nama, slijedite sljedeće korake:
1) Preuzmite TOR preglednik s hxxps://torproject.org
2) Instalirajte i pokrenite TOR preglednik
3) Posjetite našu web stranicu: hxxx://gwvueqclwkz3h7u75cks2wmrwymg3qemfyoyqs7vexkx7lhlteagmsyd.onion
Na našoj web stranici moći ćete besplatno kupiti dekriptor, razgovarati s našom podrškom i dešifrirati nekoliko datoteka
Ako nam se ne javite u roku od 72h počet ćemo dio po dio objavljivati ukradene podatke na našem blogu, DDoS stranici vaše tvrtke i pozvati zaposlenike vaše tvrtke
Analizirali smo financijsku dokumentaciju Vaše tvrtke te ćemo Vam ponuditi odgovarajuću cijenu
Kako biste izbjegli gubitak podataka i povećanje dodatnih troškova:
1) Nemojte mijenjati sadržaj šifriranih datoteka
2) Nemojte obavijestiti lokalne vlasti o ovom incidentu prije isteka našeg ugovora
3) Nemojte angažirati tvrtke za oporavak da pregovaraju s nama
Jamčimo da će naš dijalog ostati privatan i da treće strane nikada neće saznati za naš dogovorREDALERT UNIQUE IDENTIFIER START'
