ALPHV Ransomware
De ALPHV Ransomware lijkt een van de meest geavanceerde bedreigingen van dit type te zijn en dat geldt ook voor de bedreigende operatie die verantwoordelijk is voor het vrijgeven ervan. Deze specifieke ransomware-dreiging werd ontdekt door de infosec-onderzoekers, die het ook volgen onder de naam BlackCat. De dreiging is in hoge mate aanpasbaar, waardoor zelfs niet zo technisch onderlegde cybercriminelen de functies ervan kunnen aanpassen en aanvallen kunnen uitvoeren op een groot aantal platforms.
Inhoudsopgave
ALPHV’s operatie
De ALPHV Ransomware wordt gepromoot door zijn makers op Russisch sprekende hackerforums. De dreiging lijkt te worden aangeboden in een RaaS-schema (Ransomware-as-a-Service) waarbij de exploitanten van de malware op zoek zijn naar gewillige partners die de daadwerkelijke aanvallen en netwerkinbreuken zullen uitvoeren. Daarna zal het geld dat als losgeld van de slachtoffers is ontvangen, worden verdeeld tussen de betrokken partijen.
Het percentage dat door de ALPHV-makers wordt genomen, is gebaseerd op de exacte som van het losgeld. Voor losgeldbetalingen tot $ 1,5 miljoen, behouden ze 20% van het geld, terwijl voor betalingen tussen $ 1,5 en $ 3 miljoen ze 15% korting krijgen. Als de filialen erin slagen om een losgeld van meer dan $3 miljoen te ontvangen, mogen ze 90% van het geld houden.
De aanvalscampagne wordt verondersteld actief te zijn sinds ten minste november 2021. Tot dusver zijn slachtoffers van ALPHV Ransomware geïdentificeerd in de VS, Australië en India.
Technische details
De ALPHV Ransomware is geschreven met behulp van de Rust-programmeertaal. Rust is geen gebruikelijke keuze onder malware-ontwikkelaars, maar wint aan populariteit vanwege zijn kenmerken. De dreiging beschikt over een robuuste set van opdringerige functionaliteiten. Het is in staat om 4 verschillende coderingsroutines uit te voeren op basis van de voorkeuren van de aanvallers. Het gebruikt ook 2 verschillende cryptografische algoritmen - CHACHA20 en AES. De ransomware scant naar virtuele omgevingen en probeert deze te doden. Het zal ook automatisch alle ESXi-snapshots wissen om herstel te voorkomen.
Om zoveel mogelijk schade toe te brengen, kan ALPHV de processen van actieve applicaties die de versleuteling kunnen verstoren, uitschakelen, bijvoorbeeld door een gericht bestand geopend te houden. De dreiging kan de processen van Veeam, back-upsoftwareproducten, Microsoft Exchange, MS Office, e-mailclients, de populaire videogamewinkel Steam, databaseservers, enz. beëindigen. Bovendien verwijdert de ALPHV Ransomware de schaduwvolume-kopieën van de bestanden van het slachtoffer, maak de Prullenbak in het systeem schoon, zoek naar andere netwerkapparaten en probeer verbinding te maken met een Microsoft-cluster.
Indien geconfigureerd met de juiste domeinreferenties, kan ALPHV zichzelf zelfs verspreiden naar andere apparaten die zijn aangesloten op het geschonden netwerk. De dreiging zal PSExec uitpakken naar de map %Temp% en vervolgens doorgaan met het kopiëren van de payload naar de andere apparaten. Al die tijd kunnen de aanvallers de voortgang van de infectie volgen via een console-gebaseerde gebruikersinterface.
De losgeldbrief en eisen
Affiliates kunnen de dreiging aanpassen aan hun voorkeuren. Ze kunnen de gebruikte bestandsextensie aanpassen, de losgeldbrief, de manier waarop de gegevens van het slachtoffer worden versleuteld, welke mappen of bestandsextensies worden uitgesloten en meer. Het losgeldbriefje zelf wordt geleverd als een tekstbestand met een naam volgens dit patroon - 'RECOVER-[extensie]-FILES.txt.' De losgeldnota's zullen op elk slachtoffer worden afgestemd. Tot nu toe hebben slachtoffers de instructie gekregen dat ze de hackers kunnen betalen met Bitcoin of Monero cryptocurrencies.Voor Bitcoin-betalingen brengen de hackers echter 15% belasting in rekening.
Sommige losgeldnota's bevatten ook links naar een speciale TOR-leksite en een andere voor contact met de aanvallers. ALPHV gebruikt inderdaad meerdere afpersingstactieken om zijn slachtoffers te laten betalen met de cybercriminelen die belangrijke bestanden van de geïnfecteerde apparaten verzamelen voordat ze de daar opgeslagen gegevens versleutelen. Als hun eisen niet worden ingewilligd, dreigen de hackers de informatie openbaar te maken. Slachtoffers worden ook gewaarschuwd dat ze het slachtoffer zullen worden van DDoS-aanvallen bij weigering om te betalen.
Om de onderhandelingen met de slachtoffers privé te houden en te voorkomen dat cyberbeveiligingsexperts rondsnuffelen, hebben de ALPHV-operators een --access-token=[access_token] commandoregelargument geïmplementeerd. Het token wordt gebruikt bij het maken van een toegangssleutel die nodig is om toegang te krijgen tot de onderhandelingchatfunctie op de TOR-website van de hacker.
De ALPHV Ransomware is een uiterst schadelijke bedreiging met zeer geavanceerde functies en de mogelijkheid om meerdere besturingssystemen te infecteren. Het kan worden uitgevoerd op alle Windows 7-systemen en hoger, ESXI, Debian, Ubuntu, ReadyNAS en Synology.
