ALPHV Ransomware
ALPHV Ransomware 似乎是此類威脅中最複雜的威脅之一,負責發布它的威脅操作也是如此。這種特殊的勒索軟件威脅是由信息安全研究人員發現的,他們也以 BlackCat 的名義對其進行了跟踪。這種威脅是高度可定制的,即使不那麼精通技術的網絡犯罪分子也可以調整其功能並對大量平台發起攻擊。
目錄
ALPHV的運營
ALPHV 勒索軟件的創建者正在俄語黑客論壇上推廣。該威脅似乎是在 RaaS(勒索軟件即服務)計劃中提供的,惡意軟件的運營商希望招募願意執行實際攻擊和網絡破壞的附屬機構。之後,從受害者那裡收到的贖金款項將在相關各方之間分配。
ALPHV 創建者採用的百分比基於贖金的確切總和。對於高達 150 萬美元的贖金,他們將保留 20% 的資金,而對於 1.5 至 300 萬美元的贖金,他們將獲得 15% 的折扣。如果附屬公司設法獲得超過 300 萬美元的贖金,他們將被允許保留 90% 的錢。
據信,該攻擊活動至少自 2021 年 11 月以來一直處於活躍狀態。到目前為止,已在美國、澳大利亞和印度確定了 ALPHV 勒索軟件的受害者。
技術細節
ALPHV 勒索軟件是使用 Rust 編程語言編寫的。 Rust 並不是惡意軟件開發人員的常見選擇,但由於其特性而受到關注。該威脅具有一組強大的侵入性功能。它能夠根據攻擊者的偏好執行 4 種不同的加密例程。它還使用 2 種不同的加密算法 - CHACHA20 和 AES。勒索軟件將掃描虛擬環境並嘗試殺死它們。它還會自動擦除任何 ESXi 快照以防止恢復。
為了造成盡可能多的損害,ALPHV 可以殺死可能干擾其加密的活動應用程序的進程,例如通過保持目標文件打開。該威脅可以終止 Veeam、備份軟件產品、Microsoft Exchange、MS Office、郵件客戶端、流行的視頻遊戲商店 Steam、數據庫服務器等的進程。此外,ALPHV Ransomware 將刪除受害者文件的捲影副本,清理系統中的回收站,掃描其他網絡設備,並嘗試連接到 Microsoft 群集。
如果配置了適當的域憑據,ALPHV 甚至可以將自身傳播到連接到受攻擊網絡的其他設備。威脅會將 PSExec 提取到 %Temp% 文件夾,然後繼續將有效負載複製到其他設備。同時,攻擊者可以通過基於控制台的用戶界面監控感染進程。
贖金票據和要求
附屬公司可以根據自己的喜好修改威脅。他們可以自定義使用的文件擴展名、勒索信、受害者數據的加密方式、將排除哪些文件夾或文件擴展名等等。贖金票據本身將作為文本文件提供,名稱遵循此模式 - “RECOVER-[extension]-FILES.txt”。贖金票據將針對每個受害者量身定制。到目前為止,受害者已被告知他們可以使用比特幣或門羅幣加密貨幣向黑客付款。然而,對於比特幣支付,黑客會加收 15% 的稅。
一些贖金記錄還包括指向專用 TOR 洩漏站點的鏈接和另一個用於與攻擊者聯繫的站點。事實上,ALPHV 使用多種勒索策略讓受害者在加密存儲在那裡的數據之前向網絡犯罪分子支付從受感染設備收集重要文件的費用。如果他們的要求得不到滿足,黑客就會威脅要向公眾發布信息。受害者還被警告說,如果拒絕付款,他們將受到 DDoS 攻擊。
為了保密與受害者的談判並防止網絡安全專家窺探,ALPHV 運營商實施了 --access-token=[access_token] 命令行參數。該令牌用於創建進入黑客 TOR 網站上的協商聊天功能所需的訪問密鑰。
ALPHV 勒索軟件是一種極其有害的威脅,具有高度複雜的功能和感染多個操作系統的能力。它可以在所有 Windows 7 系統及更高版本、ESXI、Debian、Ubuntu、ReadyNAS 和 Synology 上執行。
