다중 장치 라이선스 (대량 할인)
Threat Database Ransomware ALPHV 랜섬웨어

ALPHV 랜섬웨어

Ransomware년에 Mezo 년까지
번역 :
한국어

ALPHV Ransomware는 이러한 유형의 가장 정교한 위협 중 하나로 보이며 이를 공개하는 데 책임이 있는 위협적인 작업도 마찬가지입니다. 이 특정 랜섬웨어 위협은 BlackCat 이름으로 추적하는 infosec 연구원에 의해 발견되었습니다. 이 위협은 고도로 맞춤화할 수 있어 기술에 정통하지 않은 사이버 범죄자도 기능을 조정하고 대규모 플랫폼 세트에 대한 공격을 시작할 수 있습니다.

ALPHV의 작전

ALPHV Ransomware는 제작자가 러시아어를 사용하는 해커 포럼에서 홍보하고 있습니다. 위협은 실제 공격 및 네트워크 침해를 수행할 자발적 계열사를 모집하려는 맬웨어 운영자와 함께 RaaS(Ransomware-as-a-Service) 체계로 제공되는 것으로 보입니다. 이후 피해자들로부터 몸값으로 받은 돈은 당사자들에게 분배될 예정이다.

ALPHV 제작자가 차지하는 비율은 몸값의 정확한 합계를 기반으로 합니다. 최대 150만 달러에 달하는 몸값 지불의 경우 자금의 20%를 유지하고 150만 달러에서 300만 달러 사이의 지불에 대해서는 15%를 삭감합니다. 계열사가 300만 달러 이상의 몸값을 받으면 해당 금액의 90%를 유지할 수 있습니다.

공격 캠페인은 최소한 2021년 11월부터 활성화된 것으로 여겨집니다. 지금까지 ALPHV 랜섬웨어의 피해자는 미국, 호주 및 인도에서 확인되었습니다.

기술적 세부 사항

ALPHV 랜섬웨어는 Rust 프로그래밍 언어를 사용하여 작성되었습니다. Rust는 맬웨어 개발자 사이에서 일반적인 선택은 아니지만 그 특성으로 인해 주목을 받고 있습니다. 위협 요소는 강력한 침입 기능 세트를 특징으로 합니다. 공격자의 선호도에 따라 4가지 다른 암호화 루틴을 수행할 수 있습니다. 또한 CHACHA20 및 AES의 2가지 다른 암호화 알고리즘을 사용합니다. 랜섬웨어는 가상 환경을 검색하고 죽이려고 시도합니다. 또한 복구를 방지하기 위해 모든 ESXi 스냅샷을 자동으로 지웁니다.

가능한 한 많은 피해를 주기 위해 ALPHV는 암호화를 방해할 수 있는 활성 응용 프로그램의 프로세스를 종료할 수 있습니다. 예를 들어 대상 파일을 열어 둡니다. 위협은 Veeam, 백업 소프트웨어 제품, Microsoft Exchange, MS Office, 메일 클라이언트, 인기 있는 비디오 게임 스토어 Steam, 데이터베이스 서버 등의 프로세스를 종료할 수 있습니다. 또한 ALPHV Ransomware는 피해자 파일의 Shadow Volume Copy를 삭제하고, 시스템에서 휴지통을 청소하고 다른 네트워크 장치를 검색한 다음 Microsoft 클러스터에 연결을 시도합니다.

적절한 도메인 자격 증명으로 구성된 경우 ALPHV는 침해된 네트워크에 연결된 다른 장치로 확산될 수도 있습니다. 위협 요소는 PSExec을 %Temp% 폴더로 추출한 다음 페이로드를 다른 장치에 복사합니다. 그 동안 공격자는 콘솔 기반 사용자 인터페이스를 통해 감염 진행 상황을 모니터링할 수 있습니다.

몸값 메모 및 요구 사항

계열사는 기본 설정에 따라 위협을 수정할 수 있습니다. 그들은 사용된 파일 확장자, 몸값, 피해자 데이터가 암호화되는 방식, 제외할 폴더 또는 파일 확장자 등을 사용자 지정할 수 있습니다. 몸값 메모 자체는 'RECOVER-[extension]-FILES.txt' 패턴을 따르는 이름의 텍스트 파일로 전달됩니다. 몸값 메모는 각 피해자에 맞게 조정됩니다. 지금까지 피해자들은 비트코인이나 모네로 암호화폐를 사용하여 해커에게 돈을 지불할 수 있다는 지시를 받았습니다.그러나 Bitcoin 지불의 경우 해커는 15%의 세금을 추가합니다.

일부 랜섬 노트에는 전용 TOR 누출 사이트에 대한 링크와 공격자와 접촉할 수 있는 다른 사이트에 대한 링크도 포함되어 있습니다. 실제로 ALPHV는 여러 갈취 전술을 사용하여 피해자가 저장된 데이터를 암호화하기 전에 감염된 장치에서 중요한 파일을 수집하는 사이버 범죄자에게 비용을 지불하도록 합니다. 요구 사항이 충족되지 않으면 해커는 정보를 대중에게 공개하겠다고 위협합니다. 피해자들은 또한 지불을 거부할 경우 DDoS 공격을 받을 것이라는 경고를 받았습니다.

피해자와의 협상을 비공개로 유지하고 사이버 보안 전문가가 스누핑하는 것을 방지하기 위해 ALPHV 운영자는 --access-token=[access_token] 명령줄 인수를 구현했습니다. 토큰은 해커의 TOR 웹사이트에서 협상 채팅 기능에 진입하는 데 필요한 액세스 키 생성에 사용됩니다.

ALPHV 랜섬웨어는 고도로 정교한 기능과 여러 운영 체제를 감염시킬 수 있는 능력을 갖춘 매우 유해한 위협입니다. 모든 Windows 7 시스템 이상, ESXI, Debian, Ubuntu, ReadyNAS 및 Synology에서 실행할 수 있습니다.

트렌드

Safe Search Eng

Potentially Unwanted Programs, Browser Hijackers
Safe Search Eng는 사용자 웹 브라우저의 검색 기능을 조작하여 원하지 않는 검색 엔진으로 검색을 리디렉션하는 브라우저 확장 유형입니다. 브라우저 하이재커로 알려진 이 침입 소프트웨어는 브라우저의 기본 검색 엔진 설정을 변경하여 대신 safesearcheng.com을 활용하도록 합니다. Safe Search Eng와 같은 브라우저 하이재커는...

마이월페이퍼

Browser Hijackers
컴퓨터 사용자는 온라인 경험을 향상시키기 위해 설계된 다양한 소프트웨어와 애플리케이션을 접하는 경우가 많습니다. 그러나 모든 소프트웨어가 좋은 의도로 만들어진 것은 아니며 일부 소프트웨어는 완전히 안전하지 않을 수 있습니다. 그러한 예 중 하나는 MyWallPaper로 알려진 브라우저 하이재커입니다. 이 기사에서는 MyWallPaper가 무엇인지,...

가장 많이 본

Lookmovie.io는 안전한가요? 스크린샷

Lookmovie.io는 안전한가요?

Issue
29,132
Lookmovie.io는 동영상 스트리밍 사이트입니다. 문제는 불법 스트리밍을 위해 제공되는 콘텐츠입니다. 또한 사이트는 불량 광고 네트워크를 통해 금전적 이득을 얻습니다. 결과적으로 사용자는 종종 의심스러운 광고를 보게 되거나 웹 브라우저에서 의심스러운 웹사이트를 열게 됩니다. 실제로, 이는 불법적으로 제공되는 콘텐츠를 무시하면 사이트 자체는 안전할...

'프린터 드라이버를 사용할 수 없음'오류를 수정하는 방법

Issue
23,621
프린터는 사용자가 가장 필요로 할 때마다 작업을 거부하는 것으로 유명합니다. 다행히 프린터에 프린터 드라이버를 사용할 수 없음' 오류가 표시되는 경우 문제를 해결할 수 있는 몇 가지 쉬운 솔루션이 있습니다. 이 특정 오류는 손상된 드라이버 파일, 오래된 드라이버 또는 드라이버 비호환성으로 인해 발생할 수 있습니다. Microsoft의 일반 드라이버를...
화면을 공유 할 때 Discord에 검은 색 화면이 표시됨 스크린샷

화면을 공유 할 때 Discord에 검은 색 화면이 표시됨

Issue
22,680
처음 출시되었을 때 Discord는 게임 커뮤니티를 위한 VoIP 플랫폼이었습니다. 그러나 그 후 몇 년 동안 범위를 확장하고 수많은 새로운 기능을 추가했으며 월간 활성 사용자가 1억 4천만 명이 넘는 가장 큰 소셜 플랫폼 중 하나가 되었습니다. 현재 사용자는 개인 인스턴트 메시지를 보내고, VoIP 및 화상 통화를 시작하고, 컴퓨터 화면을...
로드 중...