ALPHV Ransomware
L'ALPHV Ransomware sembra essere tra le minacce più sofisticate di questo tipo, così come l'operazione minacciosa responsabile del suo rilascio. Questa particolare minaccia ransomware è stata scoperta dai ricercatori di infosec, che la seguono anche con il nome BlackCat. La minaccia è altamente personalizzabile e consente anche ai criminali informatici non così esperti di tecnologia di adattare le sue funzionalità e lanciare attacchi contro un ampio set di piattaforme.
Sommario
L’operazione di ALPHV
Il ransomware ALPHV viene promosso dai suoi creatori sui forum di hacker di lingua russa. La minaccia sembra essere offerta in uno schema RaaS (Ransomware-as-a-Service) con gli operatori del malware che cercano di reclutare affiliati volenterosi che eseguiranno gli attacchi effettivi e le violazioni della rete. Successivamente, il denaro ricevuto dalle vittime come pagamento del riscatto verrà diviso tra le parti coinvolte.
La percentuale presa dai creatori di ALPHV si basa sulla somma esatta del riscatto. Per i pagamenti di riscatto fino a $ 1,5 milioni, manterranno il 20% dei fondi, mentre per i pagamenti tra $ 1,5 e $ 3 milioni otterranno una riduzione del 15%. Se gli affiliati riescono a ricevere un riscatto di oltre 3 milioni di dollari, potranno trattenere il 90% del denaro.
Si ritiene che la campagna di attacco sia attiva almeno da novembre 2021. Finora sono state identificate vittime di ALPHV Ransomware negli Stati Uniti, in Australia e in India.
Dettagli tecnici
L'ALPHV Ransomware è scritto utilizzando il linguaggio di programmazione Rust. La ruggine non è una scelta comune tra gli sviluppatori di malware, ma sta guadagnando terreno grazie alle sue caratteristiche. La minaccia presenta un solido set di funzionalità intrusive. È in grado di eseguire 4 diverse routine di crittografia in base alle preferenze degli aggressori. Utilizza anche 2 diversi algoritmi crittografici: CHACHA20 e AES. Il ransomware cercherà ambienti virtuali e tenterà di ucciderli. Inoltre, cancellerà automaticamente tutti gli snapshot ESXi per impedire il ripristino.
Per infliggere il maggior danno possibile, ALPHV può uccidere i processi delle applicazioni attive che potrebbero interferire con la sua crittografia, ad esempio mantenendo aperto un file mirato. La minaccia può interrompere i processi di Veeam, prodotti software di backup, Microsoft Exchange, MS Office, client di posta, il popolare negozio di videogiochi Steam, server di database, ecc. Inoltre, ALPHV Ransomware eliminerà le copie shadow del volume dei file della vittima, pulire il Cestino nel sistema, cercare altri dispositivi di rete e tentare di connettersi a un cluster Microsoft.
Se configurato con le credenziali di dominio appropriate, ALPHV può diffondersi anche su altri dispositivi collegati alla rete violata. La minaccia estrarrà PSExec nella cartella %Temp% e quindi procederà a copiare il payload sugli altri dispositivi. Nel frattempo, gli aggressori possono monitorare l'andamento dell'infezione tramite un'interfaccia utente basata su console.
La richiesta di riscatto e le richieste
Gli affiliati possono modificare la minaccia in base alle loro preferenze. Possono personalizzare l'estensione del file utilizzato, la richiesta di riscatto, il modo in cui i dati della vittima verranno crittografati, quali cartelle o estensioni di file verranno escluse e altro ancora. La richiesta di riscatto stessa verrà consegnata come file di testo con un nome che segue questo schema: "RECOVER-[extension]-FILES.txt". Le note di riscatto saranno adattate a ciascuna vittima. Finora le vittime sono state informate che possono pagare gli hacker utilizzando le criptovalute Bitcoin o Monero.Tuttavia, per i pagamenti in Bitcoin, gli hacker aggiungeranno una tassa del 15%.
Alcune note di riscatto includono anche collegamenti a un sito di perdite TOR dedicato e un altro proprio per il contatto con gli aggressori. In effetti, ALPHV utilizza molteplici tattiche di estorsione per convincere le sue vittime a pagare con i criminali informatici che raccolgono file importanti dai dispositivi infetti prima di crittografare i dati archiviati lì. Se le loro richieste non vengono soddisfatte, gli hacker minacciano di rendere pubbliche le informazioni. Le vittime sono anche avvertite che saranno soggette ad attacchi DDoS in caso di rifiuto di pagare.
Per mantenere private le trattative con le vittime e impedire agli esperti di sicurezza informatica di ficcanasare, gli operatori ALPHV hanno implementato un argomento della riga di comando --access-token=[access_token]. Il token viene utilizzato nella creazione di una chiave di accesso necessaria per accedere alla funzione di chat di negoziazione sul sito Web TOR dell'hacker.
L'ALPHV Ransomware è una minaccia estremamente dannosa con funzionalità altamente sofisticate e la capacità di infettare più sistemi operativi. Può essere eseguito su tutti i sistemi Windows 7 e versioni successive, ESXI, Debian, Ubuntu, ReadyNAS e Synology.
