ALPHV løsepengeprogramvare
ALPHV Ransomware ser ut til å være blant de mest sofistikerte truslene av denne typen, og det samme er den truende operasjonen som er ansvarlig for å frigjøre den. Denne spesielle ransomware-trusselen ble oppdaget av infosec-forskerne, som også sporer den under BlackCat-navnet. Trusselen er svært tilpassbar, slik at selv ikke så teknologikyndige nettkriminelle kan justere funksjonene og starte angrep mot et stort sett med plattformer.
Innholdsfortegnelse
ALPHVs operasjon
ALPHV Ransomware markedsføres av skaperne på russisktalende hackerfora. Trusselen ser ut til å bli tilbudt i et RaaS-opplegg (Ransomware-as-a-Service) med operatører av skadevare som ønsker å rekruttere villige tilknyttede selskaper som vil utføre de faktiske angrepene og nettverksbruddene. Etterpå vil pengene som ble mottatt fra ofrene som løsepenger deles mellom de involverte partene.
Prosentandelen tatt av ALPHV-skaperne er basert på den nøyaktige summen av løsepengene. For løsepenger som når opp til $1,5 millioner, vil de beholde 20% av midlene, mens for betalinger mellom $1,5 og $3 millioner vil de få en 15% kutt. Hvis tilknyttede selskaper klarer å motta løsepenger på mer enn $3 millioner, vil de få beholde 90% av pengene.
Angrepskampanjen antas å ha vært aktiv siden minst november 2021. Så langt har ofre for ALPHV Ransomware blitt identifisert i USA, Australia og India.
Tekniske detaljer
ALPHV Ransomware er skrevet med Rust-programmeringsspråket. Rust er ikke et vanlig valg blant skadevareutviklere, men vinner frem på grunn av egenskapene. Trusselen har et robust sett med påtrengende funksjoner. Den er i stand til å utføre 4 forskjellige krypteringsrutiner basert på angripernes preferanser. Den bruker også 2 forskjellige kryptografiske algoritmer - CHACHA20 og AES. Ransomware vil skanne etter virtuelle miljøer og forsøke å drepe dem. Den vil også automatisk slette eventuelle ESXi-øyeblikksbilder for å forhindre gjenoppretting.
For å påføre så mye skade som mulig, kan ALPHV drepe prosessene til aktive applikasjoner som kan forstyrre kryptering, for eksempel ved å holde en målrettet fil åpen. Trusselen kan terminere prosessene til Veeam, programvare for sikkerhetskopiering, Microsoft Exchange, MS Office, e-postklienter, den populære videospillbutikken Steam, databaseservere, etc. Videre vil ALPHV Ransomware slette Shadow Volume Copies av offerets filer, rengjør papirkurven i systemet, søk etter andre nettverksenheter og forsøk å koble til en Microsoft-klynge.
Hvis den er konfigurert med riktig domenelegitimasjon, kan ALPHV til og med spre seg til andre enheter som er koblet til det brutte nettverket. Trusselen vil trekke ut PSExec til %Temp%-mappen og deretter fortsette å kopiere nyttelasten til de andre enhetene. Hele tiden kan angriperne overvåke fremdriften av infeksjonen via et konsollbasert brukergrensesnitt.
Løsepengeseddelen og kravene
Tilknyttede selskaper kan endre trusselen i henhold til deres preferanser. De kan tilpasse den brukte filtypen, løsepenger, måten offerets data blir kryptert på, hvilke mapper eller filutvidelser som vil bli ekskludert og mer. Selve løsepengene vil bli levert som en tekstfil med et navn som følger dette mønsteret - 'RECOVER-[extension]-FILES.txt.' Løsepengene vil bli skreddersydd for hvert offer. Så langt har ofre blitt instruert om at de kan betale hackerne ved å bruke enten Bitcoin- eller Monero-kryptovalutaene.For Bitcoin-betalinger vil imidlertid hackerne legge til en skatt på 15 %.
Noen løsepenger inneholder også lenker til en dedikert TOR-lekkasjeside og en annen egen for kontakt med angriperne. ALPHV bruker faktisk flere utpressingstaktikker for å få ofrene til å betale med nettkriminelle som samler inn viktige filer fra de infiserte enhetene før de krypterer dataene som er lagret der. Hvis deres krav ikke blir oppfylt, truer hackerne med å publisere informasjonen til offentligheten. Ofre blir også advart om at de vil bli utsatt for DDoS-angrep når de nekter å betale.
For å holde forhandlingene med ofrene private og hindre cybersikkerhetseksperter fra å snoke rundt, har ALPHV-operatørene implementert et --access-token=[access_token] kommandolinjeargument. Tokenet brukes til å lage en tilgangsnøkkel som er nødvendig for å gå inn i forhandlingchatfunksjonen på hackerens TOR-nettsted.
ALPHV Ransomware er en ekstremt skadelig trussel med svært sofistikerte funksjoner og muligheten til å infisere flere operativsystemer. Den kan kjøres på alle Windows 7-systemer og høyere, ESXI, Debian, Ubuntu, ReadyNAS og Synology.
