ALPHV Ransomware
Gennem årene har vi stødt på mange højprofilerede ransomware-projekter, som sjældent går efter almindelige brugere. I de fleste tilfælde har disse højteknologiske fillåse til formål at inficere netværk af virksomheder og virksomheder, der ville være villige til at betale hundredtusindvis af dollars for at gendanne deres data. Dette er tilfældet med ALPHV Ransomware, også kendt som BlackCat. Denne malware, der første gang blev set i november 2021, ser ud til at være en af de mest fremtrædende fillåse i 2021.
Under ALPHV Ransomware's Hood
Til at begynde med er projektet skrevet i programmeringssproget Rust, som i øjeblikket vinder popularitet blandt malware-udviklere. En af grundene til, at de foretrækker at bruge Rust, er fordi det har en tendens til at være mere effektivt med hensyn til ydeevne, og det er også sværere at analysere og dissekere.
ALPHV Ransomware eller BlackCat Ransomware ser ud til at være skabelsen af russiske hackere, der allerede promoverer det på russisktalende hackingfora. Det ser ud til, at de planlægger at arbejde med tilknyttede selskaber, som vil komme til at bruge løsesumwaren, mens de beholder en procent af løsesummen.
ALPHV Ransomware kører ikke automatisk som de fleste nyttelaster af denne slags. I stedet skal den betjenes af et menneske med adgang til den inficerede enhed – enten fysisk eller fjernbetjening. Kommandolinjegrænsefladen gør det muligt for angriberen at vælge mellem forskellige krypteringsteknikker, samt muligheden for at udføre yderligere destruktive opgaver. Nogle af højdepunkterne ved ALPHV Ransomwares funktioner er dens evne til at slette ESXi-snapshots og virtuelle maskine-kopier. Alle nyttelast af ALPHV Ransomware er parret med en JSON-konfigurationsfil, som kan redigeres for at ændre angrebets omfang, filformater, det er rettet mod, og processer eller tjenester, der skal afsluttes.
Selv uden sofistikeret konfiguration vil ALPHV Ransomware sørge for at afslutte en lang række apps og tjenester, der kan forhindre nyttelasten i at kryptere filer. Efter angrebet er afsluttet, præsenteres ofrene for en løsesumseddel, hvis indhold kan redigeres via JSON-konfigurationsfilen nævnt ovenfor. Typisk bruger den navnet 'RECOVEQR-
Hvad vil de kriminelle?
De kriminelle kan kræve en varierende løsesum, men at dømme efter kvaliteten af malwaren er det usandsynligt, at ALPHV Ransomwares operatører leder efter små betalinger. De er mere tilbøjelige til at kræve millioner af dollars via en cryptocurrency-overførsel.
ALPHV Ransomware-operatørerne accepterer betalinger via Monero og Bitcoin. Det ser også ud til, at brugere, der vælger at betale for Bitcoin, muligvis skal betale 15 % mere end det oprindelige løsesum – årsagen til dette er ukendt. Indtil videre har forskere identificeret ofre for ALPHV Ransomware i Indien, Australien og USA – dette bekræfter truslens globale rækkevidde.
Sidst, men ikke mindst, truer ransomware-angriberne med at lække ofrets filer online, hvis de ikke går med til at betale. De bruger også en ekstra afpresningsteknik ved at true til DDoS ofrets netværk, hvis der ikke betales løsesum – en ny tilgang, når man taler om ransomware-angreb.
