ALPHV Ransomware
ALPHV Ransomware 似乎是此类威胁中最复杂的威胁之一,负责发布它的威胁操作也是如此。这种特殊的勒索软件威胁是由信息安全研究人员发现的,他们也以 BlackCat 的名义对其进行跟踪。这种威胁是高度可定制的,即使不那么精通技术的网络犯罪分子也可以调整其功能并对大量平台发起攻击。
目录
ALPHV的运营
ALPHV 勒索软件的创建者正在俄语黑客论坛上推广。该威胁似乎是在 RaaS(勒索软件即服务)计划中提供的,恶意软件的运营商希望招募愿意执行实际攻击和网络破坏的附属机构。之后,从受害者那里收到的赎金款项将在相关各方之间分配。
ALPHV 创建者采用的百分比基于赎金的确切总和。对于高达 150 万美元的赎金,他们将保留 20% 的资金,而对于 1.5 至 300 万美元的赎金,他们将获得 15% 的折扣。如果附属公司设法收到超过 300 万美元的赎金,他们将被允许保留 90% 的钱。
据信,该攻击活动至少自 2021 年 11 月以来一直处于活跃状态。到目前为止,已在美国、澳大利亚和印度确定了 ALPHV 勒索软件的受害者。
技术细节
ALPHV 勒索软件是使用 Rust 编程语言编写的。 Rust 并不是恶意软件开发人员的常见选择,但由于其特性而受到关注。该威胁具有一组强大的侵入性功能。它能够根据攻击者的偏好执行 4 种不同的加密例程。它还使用 2 种不同的加密算法 - CHACHA20 和 AES。勒索软件将扫描虚拟环境并尝试杀死它们。它还会自动擦除任何 ESXi 快照以防止恢复。
为了造成尽可能多的损害,ALPHV 可以杀死可能干扰其加密的活动应用程序的进程,例如通过保持目标文件打开。该威胁可以终止 Veeam、备份软件产品、Microsoft Exchange、MS Office、邮件客户端、流行的视频游戏商店 Steam、数据库服务器等的进程。此外,ALPHV Ransomware 将删除受害者文件的卷影副本,清理系统中的回收站,扫描其他网络设备,并尝试连接到 Microsoft 群集。
如果配置了适当的域凭据,ALPHV 甚至可以将自身传播到连接到受攻击网络的其他设备。威胁会将 PSExec 提取到 %Temp% 文件夹,然后继续将有效负载复制到其他设备。同时,攻击者可以通过基于控制台的用户界面监控感染进程。
赎金票据和要求
附属公司可以根据自己的喜好修改威胁。他们可以自定义使用的文件扩展名、勒索信、受害者数据的加密方式、将排除哪些文件夹或文件扩展名等等。赎金票据本身将作为文本文件提供,名称遵循此模式 - “RECOVER-[extension]-FILES.txt”。赎金票据将针对每个受害者量身定制。到目前为止,受害者已被告知他们可以使用比特币或门罗币向黑客付款。然而,对于比特币支付,黑客会加收 15% 的税。
一些赎金记录还包括指向专用 TOR 泄漏站点的链接和另一个用于与攻击者联系的站点。事实上,ALPHV 使用多种勒索策略让受害者在加密存储在那里的数据之前向网络犯罪分子支付从受感染设备收集重要文件的费用。如果他们的要求得不到满足,黑客就会威胁要向公众发布信息。受害者还被警告说,如果拒绝付款,他们将受到 DDoS 攻击。
为了保密与受害者的谈判并防止网络安全专家窥探,ALPHV 运营商实施了 --access-token=[access_token] 命令行参数。该令牌用于创建进入黑客 TOR 网站上的协商聊天功能所需的访问密钥。
ALPHV 勒索软件是一种极其有害的威胁,具有高度复杂的功能和感染多个操作系统的能力。它可以在所有 Windows 7 系统及更高版本、ESXI、Debian、Ubuntu、ReadyNAS 和 Synology 上执行。
