RedAlert (N13V) ransomware
Ransomware RedAlert (N13V) to wieloplatformowe złośliwe oprogramowanie, które atakuje dane swoich ofiar. Wersja złośliwego oprogramowania dla systemu Windows jest śledzona jako RedALert, podczas gdy N13V jest specjalnie zaprojektowany do działania na serwerach Linux VMware ESXi. Podobnie jak większość ataków ransomware, zagrożenie blokuje dane znalezione w naruszonych systemach za pomocą niemożliwego do złamania algorytmu kryptograficznego. Każdy przetworzony plik będzie miał nowe rozszerzenie, składające się z „.crypt”, po którym następuje pewna liczba dołączona do jego oryginalnej nazwy. Gdy wszystkie docelowe typy plików zostaną zaszyfrowane, ransomware RedAlert (N13V) utworzy nowy plik tekstowy na zainfekowanym urządzeniu.
Plik o nazwie „HOW_TO_RESTORE.txt” ma za zadanie dostarczyć żądanie okupu z instrukcjami od atakujących. Wiadomość RedAlert (N13V) Ransomware wyraźnie wskazuje, że jego operatorzy atakują głównie podmioty korporacyjne. Ujawnia również, że napastnicy stosują schemat podwójnego wymuszenia. Najwyraźniej oprócz blokowania plików ofiary cyberprzestępcy zbierają również różne poufne dane, takie jak umowy, dokumenty finansowe, wyciągi bankowe, dane pracowników i klientów itp. Wszystkie zebrane informacje są eksportowane na zdalny serwer, a hakerzy grożą uwolnieniem do wiadomości publicznej, jeśli ofiary nie skontaktują się z nimi w ciągu 72 godzin.
Zagrożenie kieruje ofiary do odwiedzenia dedykowanej witryny hakera hostowanej w sieci Tor. Witryna rzekomo umożliwi ofiarom wysłanie kilku zaszyfrowanych plików do bezpłatnego odblokowania, zapłacenie żądanego okupu i otrzymanie specjalistycznego narzędzia deszyfrującego. Oczywiście komunikacja z cyberprzestępcami jest z natury ryzykowna i może narazić ofiarę na dodatkowe problemy z prywatnością lub bezpieczeństwem.
Cały zestaw instrukcji dostarczonych za pośrednictwem pliku tekstowego to:
'Witam,
Twoja sieć została penetrowana
Zaszyfrowaliśmy Twoje pliki i ukradliśmy dużą ilość poufnych danych, w tym:Umowy i dane NDA
Dokumenty finansowe, listy płac, wyciągi bankowe
Dane pracowników, dokumenty osobiste, SSN, DL, CC
Dane klientów, umowy, umowy zakupu itp.
Poświadczenia do urządzeń lokalnych i zdalnych
I więcej…
Szyfrowanie jest procesem odwracalnym, Twoje dane można łatwo odzyskać z naszą pomocą
Oferujemy zakup specjalnego oprogramowania deszyfrującego, płatność zawiera deszyfrator, klucz do niego i usunięcie skradzionych danych
Jeśli rozumiesz całą powagę tego wniosku i jesteś gotowy do współpracy z nami, wykonaj następujące kroki:
1) Pobierz przeglądarkę TOR ze strony hxxps://torproject.org
2) Zainstaluj i uruchom przeglądarkę TOR
3) Odwiedź naszą stronę internetową: hxxx://gwvueqclwkz3h7u75cks2wmrwymg3qemfyoyqs7vexkx7lhlteagmsyd.onion
Na naszej stronie będziesz mógł kupić deszyfrator, porozmawiać z naszym wsparciem i odszyfrować kilka plików za darmo
Jeśli nie skontaktujesz się z nami w 72h, zaczniemy publikować skradzione dane na naszym blogu część po części, stronę DDoS Twojej firmy i dzwonić do pracowników Twojej firmy
Przeanalizowaliśmy dokumentację finansową Twojej firmy, zaproponujemy Ci odpowiednią cenę
Aby uniknąć utraty danych i wzrostu dodatkowych kosztów:
1) Nie modyfikuj zawartości zaszyfrowanych plików
2) Nie informuj władz lokalnych o tym incydencie przed zakończeniem naszej umowy
3) Nie zatrudniaj firm zajmujących się odzyskiem do negocjacji z nami
Gwarantujemy, że nasz dialog pozostanie prywatny, a osoby trzecie nigdy się nie dowiedzą o naszej transakcjiREDALERT UNIKALNY IDENTYFIKATOR START”
