RedAlert (N13V) Ransomware
RedAlert (N13V) Ransomware je zlonamerna programska oprema za več platform, ki cilja na podatke svojih žrtev. Različica zlonamerne programske opreme za Windows se spremlja kot RedALert, medtem ko je N13V posebej zasnovan za delovanje na strežnikih Linux VMware ESXi. Tako kot večina napadov z izsiljevalsko programsko opremo tudi grožnja zaklene podatke, najdene v vdretih sistemih, z uporabo kriptografskega algoritma, ki ga ni mogoče zlomiti. Vsaka obdelana datoteka bo imela novo končnico, sestavljeno iz '.crypt', ki ji bo sledila določena številka, dodana izvirnemu imenu. Ko so vse ciljne vrste datotek šifrirane, bo izsiljevalska programska oprema RedAlert (N13V) v okuženi napravi ustvarila novo besedilno datoteko.
Datoteka z imenom 'HOW_TO_RESTORE.txt' je namenjena dostavi obvestila o odkupnini z navodili napadalcev. Sporočilo RedAlert (N13V) Ransomware jasno kaže, da njeni operaterji večinoma ciljajo na pravne osebe. Prav tako razkriva, da napadalci izvajajo shemo dvojnega izsiljevanja. Očitno akterji groženj poleg zaklepanja žrtvinih datotek zbirajo tudi različne zaupne podatke, kot so pogodbe, finančni dokumenti, bančni izpiski, podatki o zaposlenih in strankah itd. Vse zbrane informacije se izločijo na oddaljeni strežnik, hekerji pa grozijo, da jih bodo izdali javnosti, če jih žrtve ne kontaktirajo v 72 urah.
Grožnja žrtve usmeri v obisk hekerjeve namenske spletne strani, ki gostuje v omrežju Tor. Spletno mesto naj bi žrtvam omogočilo, da brezplačno pošljejo nekaj šifriranih datotek za odklepanje, plačajo zahtevano odkupnino in prejmejo specializirano orodje za dešifriranje. Seveda je komunikacija s kibernetskimi kriminalci sama po sebi tvegana in lahko žrtev izpostavi dodatnim težavam glede zasebnosti ali varnosti.
Celoten nabor navodil, dostavljen prek besedilne datoteke, je:
'Zdravo,
Vdrli so v vaše omrežje
Šifrirali smo vaše datoteke in ukradli veliko količino občutljivih podatkov, vključno z:NDA pogodbe in podatki
Finančni dokumenti, plačilne liste, bančni izpiski
Podatki o zaposlenih, osebni dokumenti, SSN, DL, CC
Podatki o strankah, pogodbe, kupoprodajne pogodbe itd.
Poverilnice za lokalne in oddaljene naprave
In več…
Šifriranje je reverzibilen proces, vaše podatke je mogoče enostavno obnoviti z našo pomočjo
Ponujamo vam nakup posebne programske opreme za dešifriranje, plačilo vključuje dekriptor, ključ zanj in izbris ukradenih podatkov
Če razumete vso resnost te zadeve in ste pripravljeni sodelovati z nami, sledite naslednjim korakom:
1) Prenesite brskalnik TOR s hxxps://torproject.org
2) Namestite in zaženite brskalnik TOR
3) Obiščite našo spletno stran: hxxx://gwvueqclwkz3h7u75cks2wmrwymg3qemfyoyqs7vexkx7lhlteagmsyd.onion
Na naši spletni strani boste lahko brezplačno kupili dekriptor, klepetali z našo podporo in dešifrirali nekaj datotek
Če nas ne boste kontaktirali v 72 urah, bomo začeli objavljati ukradene podatke v našem blogu po delih, DDoS strani vašega podjetja in poklicali zaposlene v vašem podjetju
Analizirali smo finančno dokumentacijo vašega podjetja, da vam bomo ponudili ustrezno ceno
Da se izognete izgubi podatkov in povečanju dodatnih stroškov:
1) Ne spreminjajte vsebine šifriranih datotek
2) Ne obveščajte lokalnih oblasti o tem incidentu pred koncem našega posla
3) Ne najemajte podjetij za predelavo, da se pogajajo z nami
Zagotavljamo, da bo naš dialog ostal zaseben in da tretje osebe ne bodo nikoli izvedele za naš dogovorREDALERT UNIQE IDENTIFIER START'
