ALPHV Ransomware
ALPHV Fidye Yazılımı, bu türdeki en karmaşık tehditler arasında yer alıyor gibi görünüyor ve onu serbest bırakmaktan sorumlu tehdit edici operasyon da öyle. Bu özel fidye yazılımı tehdidi, onu BlackCat adı altında izleyen infosec araştırmacıları tarafından keşfedildi. Tehdit, son derece özelleştirilebilir nitelikte olup, teknoloji konusunda pek bilgili olmayan siber suçluların bile özelliklerini ayarlamasına ve çok sayıda platforma saldırı başlatmasına olanak tanır.
İçindekiler
ALPHV’nin Operasyonu
ALPHV Ransomware, yaratıcıları tarafından Rusça konuşan hacker forumlarında tanıtılıyor. Tehdit, gerçek saldırıları ve ağ ihlallerini gerçekleştirecek istekli ortakları işe almak isteyen kötü amaçlı yazılım operatörleriyle birlikte bir RaaS (Hizmet olarak Fidye Yazılımı) şemasında sunuluyor gibi görünüyor. Daha sonra kurbanlardan fidye olarak alınan para ilgili taraflar arasında paylaştırılacak.
ALPHV yaratıcıları tarafından alınan yüzde, fidyenin tam toplamına dayanmaktadır. 1,5 milyon ABD Dolarına ulaşan fidye ödemeleri için fonların %20'si ellerinde kalırken, 1,5 ile 3 milyon ABD Doları arasındaki ödemeler için %15 kesinti yapılacak. Bağlı kuruluşlar 3 milyon dolardan fazla bir fidye almayı başarırlarsa, paranın %90'ını ellerinde tutmalarına izin verilecek.
Saldırı kampanyasının en az Kasım 2021'den beri aktif olduğuna inanılıyor. Şimdiye kadar ABD, Avustralya ve Hindistan'da ALPHV Ransomware kurbanları tespit edildi.
Teknik detaylar
ALPHV Ransomware, Rust programlama dili kullanılarak yazılmıştır. Rust, kötü amaçlı yazılım geliştiricileri arasında yaygın bir seçim değildir, ancak özellikleri nedeniyle ilgi görmektedir. Tehdit, sağlam bir müdahaleci işlevler grubuna sahiptir. Saldırganların tercihlerine göre 4 farklı şifreleme rutini gerçekleştirebilmektedir. Ayrıca 2 farklı şifreleme algoritması kullanır - CHACHA20 ve AES. Fidye yazılımı sanal ortamları tarar ve onları öldürmeye çalışır. Ayrıca, kurtarmayı önlemek için tüm ESXi anlık görüntülerini otomatik olarak siler.
ALPHV, mümkün olduğunca fazla zarar vermek için, örneğin hedeflenen bir dosyayı açık tutarak, şifrelemesine müdahale edebilecek aktif uygulamaların işlemlerini sonlandırabilir. Tehdit, Veeam, yedekleme yazılımı ürünleri, Microsoft Exchange, MS Office, posta istemcileri, popüler video oyun mağazası Steam, veritabanı sunucuları vb. işlemlerini sonlandırabilir. Ayrıca, ALPHV Ransomware kurbanın dosyalarının Gölge Birim Kopyalarını siler, sistemdeki Geri Dönüşüm Kutusu'nu temizleyin, diğer ağ cihazlarını tarayın ve bir Microsoft kümesine bağlanmayı deneyin.
Uygun etki alanı kimlik bilgileriyle yapılandırılırsa, ALPHV kendisini ihlal edilen ağa bağlı diğer cihazlara da yayabilir. Tehdit, PSExec'i %Temp% klasörüne çıkaracak ve ardından yükü diğer cihazlara kopyalamaya devam edecektir. Bu arada, saldırganlar, konsol tabanlı bir kullanıcı arayüzü aracılığıyla enfeksiyonun ilerlemesini izleyebilir.
Fidye Notu ve Talepler
İştirakler, tehdidi tercihlerine göre değiştirebilir. Kullanılan dosya uzantısını, fidye notunu, kurbanın verilerinin nasıl şifreleneceğini, hangi klasörlerin veya dosya uzantılarının hariç tutulacağını ve daha fazlasını özelleştirebilirler. Fidye notunun kendisi, 'RECOVER-[extension]-FILES.txt' şeklinde bir ada sahip bir metin dosyası olarak teslim edilecektir. Fidye notları her kurban için özel olarak hazırlanacak. Şimdiye kadar kurbanlara, bilgisayar korsanlarına Bitcoin veya Monero kripto para birimleri kullanarak ödeme yapabilecekleri söylendi.Ancak, Bitcoin ödemeleri için bilgisayar korsanları %15 vergi ekleyecek.
Bazı fidye notları ayrıca özel bir TOR sızıntı sitesine ve saldırganlarla iletişim için bir başka siteye bağlantılar içerir. Gerçekten de ALPHV, kurbanlarının, orada depolanan verileri şifrelemeden önce, virüslü cihazlardan önemli dosyaları toplayan siber suçlularla ödeme yapmasını sağlamak için birden fazla gasp taktiği kullanıyor. Talepleri karşılanmazsa, bilgisayar korsanları bilgileri kamuoyuna yayınlamakla tehdit ediyor. Mağdurlar ayrıca ödemeyi reddetmeleri durumunda DDoS saldırılarına maruz kalacakları konusunda uyarılır.
ALPHV operatörleri, kurbanlarla yapılan müzakereleri gizli tutmak ve siber güvenlik uzmanlarının ortalığı gözetlemesini önlemek için bir --access-token=[access_token] komut satırı argümanı uyguladı. Belirteç, bilgisayar korsanının TOR web sitesinde görüşme sohbet işlevine girmek için gerekli bir erişim anahtarının oluşturulmasında kullanılır.
ALPHV Ransomware, son derece gelişmiş özellikleri ve birden çok işletim sistemine bulaşma yeteneği ile son derece zararlı bir tehdittir. Tüm Windows 7 sistemlerinde ve üstü, ESXI, Debian, Ubuntu, ReadyNAS ve Synology'de çalıştırılabilir.
