Программа-вымогатель ALPHV
Программа-вымогатель ALPHV является одной из самых сложных угроз этого типа, как и опасная операция, ответственная за ее выпуск. Эта конкретная угроза вымогательства была обнаружена исследователями информационной безопасности, которые также отслеживали ее под именем BlackCat. Угроза обладает широкими возможностями настройки, что позволяет даже не очень технически подкованным киберпреступникам настраивать ее функции и запускать атаки на большой набор платформ.
Оглавление
Операция ALPHV
Создатели ALPHV Ransomware продвигают его на русскоязычных хакерских форумах. Угроза, по-видимому, предлагается в схеме RaaS (Ransomware-as-a-Service), при этом операторы вредоносного ПО стремятся нанять добровольных партнеров, которые будут выполнять фактические атаки и взломы сети. После этого деньги, полученные от жертв в качестве выкупа, будут разделены между вовлеченными сторонами.
Процент, взимаемый создателями ALPHV, основан на точной сумме выкупа. При выплате выкупа, доходящей до 1,5 миллиона долларов, они сохранят 20% средств, а при выплатах от 1,5 до 3 миллионов долларов они получат 15% -ную скидку. Если аффилиатам удастся получить выкуп в размере более 3 миллионов долларов, им будет разрешено оставить себе 90% денег.
Предполагается, что кампания по атаке будет активна как минимум с ноября 2021 года. На данный момент жертвы ALPHV Ransomware идентифицированы в США, Австралии и Индии.
Технические детали
Программа-вымогатель ALPHV написана с использованием языка программирования Rust. Rust не является распространенным выбором среди разработчиков вредоносных программ, но набирает обороты благодаря своим характеристикам. Угроза имеет надежный набор навязчивых функций. Он способен выполнять 4 различных процедуры шифрования в зависимости от предпочтений злоумышленников. Он также использует 2 разных криптографических алгоритма - CHACHA20 и AES. Программа-вымогатель просканирует виртуальные среды и попытается их убить. Он также автоматически сотрет все снимки ESXi, чтобы предотвратить восстановление.
Чтобы нанести как можно больший ущерб, ALPHV может остановить процессы активных приложений, которые могут помешать его шифрованию, например, оставив целевой файл открытым. Угроза может остановить процессы Veeam, программных продуктов резервного копирования, Microsoft Exchange, MS Office, почтовых клиентов, популярного магазина видеоигр Steam, серверов баз данных и т. Д. Кроме того, программа-вымогатель ALPHV удалит теневые копии томов файлов жертвы, очистите корзину в системе, просканируйте другие сетевые устройства и попытайтесь подключиться к кластеру Microsoft.
Если настроены соответствующие учетные данные домена, ALPHV может даже распространяться на другие устройства, подключенные к взломанной сети. Угроза извлечет PSExec в папку% Temp%, а затем скопирует полезные данные на другие устройства. При этом злоумышленники могут отслеживать прогресс заражения через консольный пользовательский интерфейс.
Записка о выкупе и требования
Аффилированные лица могут изменять угрозу в соответствии со своими предпочтениями. Они могут настроить используемое расширение файла, примечание о выкупе, способ шифрования данных жертвы, какие папки или расширения файлов будут исключены и многое другое. Сама записка с требованием выкупа будет доставлена в виде текстового файла с именем, следующим за этим шаблоном - «RECOVER- [extension] -FILES.txt». Записки о выкупе будут адаптированы для каждой жертвы. Пока жертвы были проинструктированы, что они могут заплатить хакерам, используя криптовалюту Биткойн или Монеро.Однако для платежей в биткойнах хакеры добавят налог в размере 15%.
Некоторые примечания о выкупе также включают ссылки на специальный сайт утечки TOR и еще один собственный сайт для связи с злоумышленниками. Действительно, ALPHV использует несколько тактик вымогательства, чтобы заставить своих жертв заплатить киберпреступникам, которые собирают важные файлы с зараженных устройств перед шифрованием хранящихся на них данных. Если их требования не будут выполнены, хакеры угрожают опубликовать информацию для общественности. Жертв также предупреждают, что они будут подвергнуты DDoS-атакам в случае отказа от оплаты.
Чтобы переговоры с жертвами оставались конфиденциальными и не позволяли экспертам по кибербезопасности шпионить, операторы ALPHV реализовали аргумент командной строки --access-token = [access_token]. Токен используется для создания ключа доступа, необходимого для входа в функцию переговорного чата на веб-сайте TOR хакера.
Программа-вымогатель ALPHV представляет собой чрезвычайно опасную угрозу с очень сложными функциями и способностью заражать несколько операционных систем. Его можно запустить на всех системах Windows 7 и выше, ESXI, Debian, Ubuntu, ReadyNAS и Synology.
