RedAlert (N13V) Ransomware
De RedAlert (N13V) Ransomware is een multi-platform malware die zich richt op de gegevens van zijn slachtoffers. De Windows-versie van de malware wordt gevolgd als RedALert, terwijl N13V specifiek is ontworpen om actief te zijn op Linux VMware ESXi-servers. Zoals de meeste ransomware-aanvallen, vergrendelt de dreiging de gegevens op de gehackte systemen met behulp van een onkraakbaar cryptografisch algoritme. Elk verwerkt bestand krijgt een nieuwe extensie, bestaande uit '.crypt' gevolgd door een bepaald nummer toegevoegd aan de oorspronkelijke naam. Wanneer alle beoogde bestandstypen zijn versleuteld, zal de RedAlert (N13V) Ransomware een nieuw tekstbestand op het geïnfecteerde apparaat maken.
Met de naam 'HOW_TO_RESTORE.txt', is het doel van het bestand om een losgeldbrief af te leveren met instructies van de aanvallers. Het bericht van RedAlert (N13V) Ransomware geeft duidelijk aan dat de operators zich voornamelijk richten op bedrijfsentiteiten. Het onthult ook dat de aanvallers een dubbel afpersingsschema uitvoeren. Blijkbaar verzamelen de dreigingsactoren, naast het vergrendelen van de bestanden van het slachtoffer, ook verschillende vertrouwelijke gegevens, zoals contracten, financiële documenten, bankafschriften, werknemers- en klantgegevens, enz. Alle verzamelde informatie wordt naar een externe server geëxfiltreerd, waarbij de hackers dreigen het aan het publiek als ze niet binnen 72 uur door de slachtoffers worden gecontacteerd.
De dreiging leidt ertoe dat slachtoffers de speciale website van de hacker bezoeken die op het Tor-netwerk wordt gehost. De site zal slachtoffers zogenaamd toestaan om een aantal versleutelde bestanden te verzenden om gratis te worden ontgrendeld, het gevraagde losgeld te betalen en een gespecialiseerde decoderingstool te ontvangen. Natuurlijk is communicatie met cybercriminelen inherent riskant en kan het slachtoffer worden blootgesteld aan extra privacy- of beveiligingsproblemen.
De volledige set instructies die via het tekstbestand wordt geleverd, is:
'Hallo,
Uw netwerk is gepenetreerd
We hebben uw bestanden versleuteld en grote hoeveelheden gevoelige gegevens gestolen, waaronder:NDA-contracten en gegevens
Financiële documenten, loonlijsten, bankafschriften
Medewerkersgegevens, persoonlijke documenten, BSN, DL, CC
Klantgegevens, contracten, koopovereenkomsten, etc.
Inloggegevens voor lokale en externe apparaten
En meer…
Versleuteling is een omkeerbaar proces, uw gegevens kunnen gemakkelijk worden hersteld met onze hulp
We bieden u aan om speciale decoderingssoftware aan te schaffen, de betaling omvat decodering, de sleutel ervoor en het wissen van gestolen gegevens
Als je de ernst van deze opmerking begrijpt en klaar bent om met ons samen te werken, volg dan de volgende stappen:
1) Download TOR Browser van hxxps://torproject.org
2) Installeer en start TOR Browser
3) Bezoek onze webpagina: hxxx://gwvueqclwkz3h7u75cks2wmrwymg3qemfyoyqs7vexkx7lhlteagmsyd.onion
Op onze webpagina kun je decryptor kopen, chatten met onze ondersteuning en enkele bestanden gratis decoderen
Als u binnen 72 uur geen contact met ons opneemt, zullen we gedeeltelijk gestolen gegevens publiceren in onze blog, DDoS-site van uw bedrijf en medewerkers van uw bedrijf bellen
We hebben de financiële documentatie van uw bedrijf geanalyseerd, zodat we u de juiste prijs kunnen bieden
Om gegevensverlies en verhoging van de extra kosten te voorkomen:
1) Wijzig de inhoud van de versleutelde bestanden niet
2) Breng de lokale autoriteiten niet op de hoogte van dit incident voor het einde van onze deal
3) Huur geen bergingsbedrijven in om met ons te onderhandelen
We garanderen dat onze dialoog privé blijft en dat derden nooit van onze deal op de hoogte zullen zijnREDALERT UNIEK IDENTIFICEERDER START'
