RedAlert (N13V) ransomware
RedAlert (N13V) Ransomware è un malware multipiattaforma che prende di mira i dati delle sue vittime. La versione Windows del malware viene tracciata come RedALert mentre N13V è specificamente progettato per essere attivo sui server Linux VMware ESXi. Come la maggior parte degli attacchi ransomware, la minaccia blocca i dati trovati sui sistemi violati utilizzando un algoritmo crittografico non crackabile. Ogni file elaborato avrà una nuova estensione, composta da '.crypt' seguito da un certo numero aggiunto al suo nome originale. Quando tutti i tipi di file di destinazione sono stati crittografati, RedAlert (N13V) Ransomware creerà un nuovo file di testo sul dispositivo infetto.
Denominato "HOW_TO_RESTORE.txt", lo scopo del file è fornire una richiesta di riscatto con le istruzioni degli aggressori. Il messaggio di RedAlert (N13V) Ransomware indica chiaramente che i suoi operatori prendono di mira principalmente entità aziendali. Rivela anche che gli aggressori stanno eseguendo un piano di doppia estorsione. Apparentemente, oltre a bloccare i file della vittima, gli attori delle minacce raccolgono anche vari dati riservati, come contratti, documenti finanziari, estratti conto bancari, dati di dipendenti e clienti, ecc. Tutte le informazioni raccolte vengono esfiltrate su un server remoto, con gli hacker che minacciano di rilasciare al pubblico se non vengono contattati dalle vittime entro 72 ore.
La minaccia indirizza le vittime a visitare il sito Web dedicato dell'hacker ospitato sulla rete Tor. Il sito presumibilmente consentirà alle vittime di inviare un paio di file crittografati da sbloccare gratuitamente, pagare il riscatto richiesto e ricevere uno strumento di decrittazione specializzato. Naturalmente, la comunicazione con i criminali informatici è intrinsecamente rischiosa e potrebbe esporre la vittima a ulteriori problemi di privacy o sicurezza.
L'intero set di istruzioni fornite tramite il file di testo è:
'Ciao,
La tua rete è stata violata
Abbiamo crittografato i tuoi file e rubato grandi quantità di dati sensibili, tra cui:Contratti e dati NDA
Documenti finanziari, buste paga, estratti conto
Dati dipendenti, documenti personali, SSN, DL, CC
Dati cliente, contratti, contratti di acquisto, ecc.
Credenziali per dispositivi locali e remoti
E altro ancora...
La crittografia è un processo reversibile, i tuoi dati possono essere facilmente recuperati con il nostro aiuto
Ti offriamo l'acquisto di un software di decrittazione speciale, il pagamento include decrittografia, chiave per esso e cancellazione dei dati rubati
Se comprendi tutta la serietà di questa suzione e sei pronto a collaborare con noi, segui i passaggi seguenti:
1) Scarica TOR Browser da hxxps://torproject.org
2) Installa e avvia TOR Browser
3) Visita la nostra pagina web: hxxx://gwvueqclwkz3h7u75cks2wmrwymg3qemfyoyqs7vexkx7lhlteagmsyd.onion
Sulla nostra pagina web potrai acquistare decryptor, chattare con il nostro supporto e decriptare alcuni file gratuitamente
Se non ci contatterai entro 72h inizieremo a pubblicare i dati rubati parte per parte nel nostro blog, nel sito DDoS della tua azienda e chiameremo i dipendenti della tua azienda
Abbiamo analizzato la documentazione finanziaria della tua azienda, quindi ti offriremo il prezzo appropriato
Per evitare la perdita di dati e l'aumento dei costi aggiuntivi:
1) Non modificare il contenuto dei file crittografati
2) Non informare le autorità locali di questo incidente prima della fine del nostro accordo
3) Non assumere società di recupero per negoziare con noi
Garantiamo che il nostro dialogo rimarrà privato e le terze parti non verranno mai a conoscenza del nostro accordoREDALERT IDENTIFICATIVO UNICO START'
