ALPHV Ransomware
ALPHV Ransomware wydaje się być jednym z najbardziej wyrafinowanych zagrożeń tego typu, podobnie jak operacja zagrażająca odpowiedzialna za jego uwolnienie. To konkretne zagrożenie ransomware zostało wykryte przez badaczy infosec, którzy również śledzą je pod nazwą BlackCat. Zagrożenie jest wysoce konfigurowalne, co pozwala nawet niezbyt obeznanym z technologią cyberprzestępcom dostosowywać jego funkcje i przeprowadzać ataki na duży zestaw platform.
Spis treści
Operacja ALPHV
ALPHV Ransomware jest promowane przez jego twórców na rosyjskojęzycznych forach hakerskich. Zagrożenie wydaje się być oferowane w ramach schematu RaaS (Ransomware-as-a-Service), w którym operatorzy złośliwego oprogramowania chcą rekrutować chętnych partnerów, którzy będą przeprowadzać faktyczne ataki i naruszenia sieci. Następnie pieniądze otrzymane od ofiar jako okup zostaną podzielone między zaangażowane strony.
Procent pobrany przez twórców ALPHV jest oparty na dokładnej sumie okupu. W przypadku płatności okupu sięgających 1,5 mln USD zatrzymają 20% środków, podczas gdy w przypadku płatności od 1,5 do 3 mln USD otrzymają 15% obniżkę. Jeśli partnerom uda się otrzymać okup w wysokości ponad 3 milionów dolarów, będą mogli zatrzymać 90% pieniędzy.
Uważa się, że kampania ataków jest aktywna co najmniej od listopada 2021 r. Do tej pory ofiary ALPHV Ransomware zostały zidentyfikowane w USA, Australii i Indiach.
Szczegóły techniczne
ALPHV Ransomware jest napisany przy użyciu języka programowania Rust. Rust nie jest powszechnym wyborem wśród twórców złośliwego oprogramowania, ale zyskuje na popularności ze względu na swoje właściwości. Zagrożenie zawiera solidny zestaw inwazyjnych funkcji. Jest w stanie wykonać 4 różne procedury szyfrowania w oparciu o preferencje atakujących. Wykorzystuje również 2 różne algorytmy kryptograficzne - CHACHA20 i AES. Oprogramowanie ransomware skanuje środowiska wirtualne i próbuje je zabić. Automatycznie wyczyści również wszystkie migawki ESXi, aby zapobiec odzyskiwaniu.
Aby wyrządzić jak największe szkody, ALPHV może zabić procesy aktywnych aplikacji, które mogą zakłócać ich szyfrowanie, na przykład przez utrzymywanie otwartego docelowego pliku. Zagrożenie może zakończyć procesy Veeam, oprogramowanie do tworzenia kopii zapasowych, Microsoft Exchange, MS Office, klienty pocztowe, popularny sklep z grami wideo Steam, serwery baz danych itp. Ponadto ALPHV Ransomware usunie ukryte kopie woluminów plików ofiary, wyczyść Kosz w systemie, przeskanuj w poszukiwaniu innych urządzeń sieciowych i spróbuj połączyć się z klastrem Microsoft.
W przypadku skonfigurowania odpowiednich poświadczeń domeny ALPHV może nawet rozprzestrzeniać się na inne urządzenia podłączone do naruszonej sieci. Zagrożenie wyodrębni PSExec do folderu %Temp%, a następnie przystąpi do kopiowania ładunku na inne urządzenia. Przez cały czas osoby atakujące mogą monitorować postęp infekcji za pośrednictwem interfejsu użytkownika opartego na konsoli.
Notatka i żądania okupu
Partnerzy mogą modyfikować zagrożenie zgodnie ze swoimi preferencjami. Mogą dostosować używane rozszerzenie pliku, żądanie okupu, sposób, w jaki dane ofiary będą szyfrowane, które foldery lub rozszerzenia plików zostaną wykluczone i nie tylko. Sam wniosek o okup zostanie dostarczony jako plik tekstowy o nazwie zgodnej z tym wzorcem – „RECOVER-[rozszerzenie]-FILES.txt”. Notatki dotyczące okupu będą dostosowane do każdej ofiary. Do tej pory ofiary zostały poinstruowane, że mogą zapłacić hakerom za pomocą kryptowaluty Bitcoin lub Monero.Jednak w przypadku płatności Bitcoin hakerzy doliczą 15% podatku.
Niektóre notatki dotyczące okupu zawierają również linki do dedykowanej strony wycieku TORa i inną własną do kontaktu z atakującymi. W rzeczywistości ALPHV stosuje wiele taktyk wymuszeń, aby skłonić swoje ofiary do zapłaty cyberprzestępcom, którzy zbierają ważne pliki z zainfekowanych urządzeń przed zaszyfrowaniem przechowywanych tam danych. Jeśli ich żądania nie zostaną spełnione, hakerzy grożą opublikowaniem informacji opinii publicznej. Ofiary są również ostrzegane, że będą narażone na ataki DDoS w przypadku odmowy zapłaty.
Aby utrzymać prywatność negocjacji z ofiarami i zapobiec węszeniu się ekspertów ds. cyberbezpieczeństwa, operatorzy ALPHV wdrożyli argument wiersza polecenia --access-token=[access_token]. Token służy do tworzenia klucza dostępu niezbędnego do wejścia do funkcji czatu negocjacyjnego na stronie hakera TOR.
ALPHV Ransomware to niezwykle szkodliwe zagrożenie z wysoce zaawansowanymi funkcjami i możliwością infekowania wielu systemów operacyjnych. Można go uruchomić na wszystkich systemach Windows 7 i wyższych, ESXI, Debian, Ubuntu, ReadyNAS i Synology.
