ALPHV Ransomware
O ALPHV Ransomware parece estar entre as ameaças mais sofisticadas desse tipo, assim como a operação ameaçadora responsável por liberá-lo. Essa ameaça de ransomware em particular foi descoberta pelos pesquisadores de infosec, que também a rastreiam com o nome BlackCat. A ameaça é altamente personalizável, permitindo que mesmo os cibercriminosos não tão experientes em tecnologia ajustem seus recursos e lancem ataques contra um grande conjunto de plataformas.
Índice
A Operação ALPHV
O ALPHV Ransomware está sendo promovido por seus criadores em fóruns de hackers que falam russo. A ameaça parece ser oferecida em um esquema de RaaS (Ransomware-como-um-Serviço) com os operadores do malware procurando recrutar afiliados dispostos a realizar os ataques reais e as violações de rede. Posteriormente, o dinheiro recebido das vítimas como pagamento do resgate será dividido entre as partes envolvidas.
A porcentagem tomada pelos criadores do ALPHV é baseada na soma exata do resgate. Para pagamentos de resgate de até US $1,5 milhão, eles ficarão com 20% dos fundos, enquanto para pagamentos entre US $1,5 e US $3 milhões, terão um corte de 15%. Se os afiliados conseguirem receber um resgate de mais de US $3 milhões, eles poderão ficar com 90% do dinheiro.
Acredita-se que a campanha de ataque esteja ativa pelo menos desde novembro de 2021. Até agora, as vítimas do ALPHV Ransomware foram identificadas nos EUA, Austrália e Índia.
Detalhes Técnicos
O ALPHV Ransomware é escrito usando a linguagem de programação Rust. Rust não é uma escolha comum entre os desenvolvedores de malware, mas está ganhando força devido às suas características. A ameaça apresenta um conjunto robusto de funcionalidades intrusivas. É capaz de realizar 4 rotinas de criptografia diferentes com base nas preferências dos atacantes. Ele também usa 2 algoritmos criptográficos diferentes - CHACHA20 e AES. O ransomware fará a digitlização de ambientes virtuais e tentará liquidtá-los. Ele também apagará automaticamente qualquer snapshot do ESXi para evitar a recuperação.
Para infligir o máximo de danos possível, o ALPHV pode liquidar os processos de aplicativos ativos que poderiam interferir em sua criptografia, por exemplo, mantendo um arquivo direcionado aberto. A ameaça pode encerrar os processos da Veeam, produtos de software de backup, Microsoft Exchange, MS Office, clientes de e-mail, a popular loja de videogames Steam, servidores de banco de dados, etc. Além disso, o ALPHV Ransomware excluirá as Cópias Shadow Volume dos arquivos da vítima, limpe a Lixeira do sistema, procure outros dispositivos de rede e tente se conectar a um cluster da Microsoft.
Se configurado com as credenciais de domínio apropriadas, o ALPHV pode até se espalhar para outros dispositivos conectados à rede violada. A ameaça extrairá PSExec para a pasta% Temp% e, em seguida, continuará a copiar a carga útil para os outros dispositivos. Enquanto isso, os invasores podem monitorar o progresso da infecção por meio de uma interface de usuário baseada em console.
A Nota de Resgate e as Exigências
Os afiliados podem modificar a ameaça de acordo com suas preferências. Eles podem personalizar a extensão de arquivo usada, nota de resgate, a forma como os dados da vítima serão criptografados, quais pastas ou extensões de arquivo serão excluídas e muito mais. A própria nota de resgate será entregue como um arquivo de texto com um nome seguindo este padrão - 'RECUPERAR- [extensão] -FILES.txt.' As notas de resgate serão adaptadas para cada vítima. Até agora, as vítimas foram instruídas de que podem pagar aos hackers usando as criptomoedas Bitcoin ou Monero.No entanto, para pagamentos de Bitcoin, os hackers adicionarão um imposto de 15%.
Algumas notas de resgate também incluem links para um site de vazamento de TOR dedicado e outro próprio para contato com os invasores. Na verdade, o ALPHV usa várias táticas de extorsão para fazer com que suas vítimas paguem com os cibercriminosos que coletam arquivos importantes dos dispositivos infectados antes de criptografar os dados armazenados neles. Se suas demandas não forem atendidas, os hackers ameaçam publicar as informações ao público. As vítimas também são avisadas de que estarão sujeitas a ataques DDoS ao se recusarem a pagar.
Para manter as negociações com as vítimas privadas e evitar que especialistas em segurança cibernética bisbilhotem, os operadores do ALPHV implementaram um argumento de linha de comando --access-token = [access_token]. O token é usado na criação de uma chave de acesso necessária para entrar na função de chat de negociação no site TOR do hacker.
O ALPHV Ransomware é uma ameaça extremamente prejudicial com recursos altamente sofisticados e a capacidade de infectar vários sistemas operacionais. Ele pode ser executado em todos os sistemas Windows 7 e superiores, ESXI, Debian, Ubuntu, ReadyNAS e Synology.
