ALPHV Ransomware
ALPHV Ransomware verkar vara bland de mest sofistikerade hoten av denna typ och det är även den hotfulla operationen som är ansvarig för att släppa den. Detta särskilda ransomware-hot upptäcktes av infosec-forskarna, som också spårar det under BlackCat-namnet. Hotet är mycket anpassningsbart så att även inte så tekniskt kunniga cyberbrottslingar kan justera dess funktioner och starta attacker mot en stor uppsättning plattformar.
Innehållsförteckning
ALPHVs verksamhet
ALPHV Ransomware marknadsförs av dess skapare på rysktalande hackerforum. Hotet verkar erbjudas i ett RaaS-system (Ransomware-as-a-Service) där operatörerna av skadlig programvara vill rekrytera villiga affiliates som kommer att utföra de faktiska attackerna och nätverksintrången. Efteråt kommer pengarna från offren som lösensumma att delas mellan de inblandade parterna.
Procentandelen som tagits av ALPHV-skaparna är baserad på den exakta summan av lösensumman. För lösenbetalningar som når upp till 1,5 miljoner USD kommer de att behålla 20 % av medlen, medan de för betalningar mellan 1,5 och 3 miljoner USD får en minskning med 15 %. Om medlemsförbunden lyckas få en lösensumma på mer än 3 miljoner dollar kommer de att få behålla 90 % av pengarna.
Attackkampanjen tros vara aktiv sedan åtminstone november 2021. Hittills har offer för ALPHV Ransomware identifierats i USA, Australien och Indien.
Tekniska detaljer
ALPHV Ransomware är skriven med programmeringsspråket Rust. Rust är inte ett vanligt val bland utvecklare av skadlig programvara, men vinner dragkraft på grund av dess egenskaper. Hotet har en robust uppsättning påträngande funktioner. Den kan utföra 4 olika krypteringsrutiner baserat på angriparnas preferenser. Den använder också 2 olika kryptografiska algoritmer - CHACHA20 och AES. Ransomware kommer att söka efter virtuella miljöer och försöka döda dem. Den kommer också automatiskt att radera alla ESXi-ögonblicksbilder för att förhindra återställning.
För att orsaka så mycket skada som möjligt kan ALPHV döda processerna i aktiva applikationer som kan störa dess kryptering, till exempel genom att hålla en riktad fil öppen. Hotet kan avsluta processerna för Veeam, säkerhetskopieringsprodukter, Microsoft Exchange, MS Office, e-postklienter, den populära videospelsbutiken Steam, databasservrar, etc. Dessutom kommer ALPHV Ransomware att radera Shadow Volume Copies av offrets filer, rensa papperskorgen i systemet, sök efter andra nätverksenheter och försök att ansluta till ett Microsoft-kluster.
Om den är konfigurerad med rätt domänuppgifter kan ALPHV till och med sprida sig till andra enheter som är anslutna till det brutna nätverket. Hotet extraherar PSExec till mappen %Temp% och fortsätter sedan med att kopiera nyttolasten till de andra enheterna. Hela tiden kan angriparna övervaka infektionens framsteg via ett konsolbaserat användargränssnitt.
Lösenanteckningen och kraven
Affiliates kan ändra hotet enligt deras preferenser. De kan anpassa det använda filtillägget, lösennota, hur offrets data kommer att krypteras, vilka mappar eller filtillägg som kommer att uteslutas och mer. Själva lösennotan kommer att levereras som en textfil med ett namn som följer detta mönster - 'RECOVER-[extension]-FILES.txt.' Lösensedlarna kommer att skräddarsys för varje offer. Hittills har offren fått instruktioner om att de kan betala hackarna med antingen Bitcoin eller Monero kryptovalutor.Men för Bitcoin-betalningar kommer hackarna att lägga till en skatt på 15 %.
Vissa lösensedlar innehåller också länkar till en dedikerad TOR-läckasida och en annan egen för kontakt med angriparna. ALPHV använder faktiskt flera utpressningstaktiker för att få sina offer att betala med cyberbrottslingar som samlar in viktiga filer från de infekterade enheterna innan de krypterar data som lagras där. Om deras krav inte tillgodoses hotar hackarna att publicera informationen till allmänheten. Offren varnas också för att de kommer att utsättas för DDoS-attacker vid vägran att betala.
För att hålla förhandlingarna med offren privata och förhindra cybersäkerhetsexperter från att snoka runt, har ALPHV-operatörerna implementerat ett --access-token=[access_token] kommandoradsargument. Token används för att skapa en åtkomstnyckel som är nödvändig för att gå in i förhandlingschattfunktionen på hackarens TOR-webbplats.
ALPHV Ransomware är ett extremt skadligt hot med mycket sofistikerade funktioner och förmågan att infektera flera operativsystem. Det kan köras på alla Windows 7-system och senare, ESXI, Debian, Ubuntu, ReadyNAS och Synology.
