ALPHV Ransomware

Με τα χρόνια έχουμε συναντήσει πολλά έργα ransomware υψηλού προφίλ που σπάνια καταδιώκουν τους κανονικούς χρήστες. Στις περισσότερες περιπτώσεις, αυτά τα θυρίδες αρχείων υψηλής τεχνολογίας στοχεύουν να μολύνουν τα δίκτυα εταιρειών και επιχειρήσεων που θα ήταν πρόθυμες να πληρώσουν εκατοντάδες χιλιάδες δολάρια για να ανακτήσουν τα δεδομένα τους. Αυτή είναι η περίπτωση του ALPHV Ransomware, γνωστό και ως BlackCat. Αυτό το κακόβουλο λογισμικό, που εμφανίστηκε για πρώτη φορά τον Νοέμβριο του 2021, φαίνεται να είναι ένα από τα πιο σημαντικά θυρίδες αρχείων του 2021.

Κάτω από το ALPHV Ransomware's Hood

Για αρχή, το έργο είναι γραμμένο στη γλώσσα προγραμματισμού Rust, η οποία αυτή τη στιγμή κερδίζει δημοτικότητα μεταξύ των προγραμματιστών κακόβουλου λογισμικού. Ένας από τους λόγους για τους οποίους προτιμούν να χρησιμοποιούν το Rust είναι επειδή τείνει να είναι πιο αποτελεσματικό από άποψη απόδοσης και είναι επίσης πιο δύσκολο να αναλυθεί και να αναλυθεί.

Το ALPHV Ransomware ή το BlackCat Ransomware φαίνεται να είναι δημιούργημα Ρώσων χάκερ που το προωθούν ήδη σε ρωσόφωνα φόρουμ hacking. Φαίνεται ότι σχεδιάζουν να συνεργαστούν με συνεργάτες που θα χρησιμοποιήσουν το ransomware, διατηρώντας παράλληλα ένα ποσοστό των τελών λύτρων.

Το ALPHV Ransomware δεν εκτελείται αυτόματα όπως τα περισσότερα ωφέλιμα φορτία αυτού του είδους. Αντίθετα, πρέπει να λειτουργεί από άνθρωπο με πρόσβαση στη μολυσμένη συσκευή – είτε φυσική είτε απομακρυσμένη. Η διεπαφή γραμμής εντολών δίνει τη δυνατότητα στον εισβολέα να επιλέξει μεταξύ διαφορετικών τεχνικών κρυπτογράφησης, καθώς και τη δυνατότητα εκτέλεσης πρόσθετων καταστροφικών εργασιών. Μερικά από τα κύρια χαρακτηριστικά του ALPHV Ransomware είναι η ικανότητά του να διαγράφει στιγμιότυπα ESXi και αντίγραφα εικονικής μηχανής. Όλα τα ωφέλιμα φορτία του ALPHV Ransomware συνδυάζονται με ένα αρχείο διαμόρφωσης JSON, το οποίο θα μπορούσε να επεξεργαστεί για να τροποποιήσει το εύρος της επίθεσης, τις μορφές αρχείων που στοχεύει και τις διαδικασίες ή τις υπηρεσίες για τερματισμό.

Ακόμη και χωρίς εξελιγμένες ρυθμίσεις παραμέτρων, το ALPHV Ransomware θα φροντίσει να τερματίσει ένα ευρύ φάσμα εφαρμογών και υπηρεσιών που θα μπορούσαν να εμποδίσουν το ωφέλιμο φορτίο να κρυπτογραφήσει αρχεία. Μετά την ολοκλήρωση της επίθεσης, παρουσιάζεται στα θύματα ένα σημείωμα λύτρων, το περιεχόμενο του οποίου είναι επεξεργάσιμο μέσω του αρχείου διαμόρφωσης JSON που αναφέρεται παραπάνω. Συνήθως, χρησιμοποιεί το όνομα 'RECOVEQR-<ΕΠΕΚΤΑΣΗ ΑΡΧΕΙΟΥ>-FILES.txt.'

Τι θέλουν οι εγκληματίες;

Οι εγκληματίες μπορεί να απαιτούν μια διαφορετική χρέωση λύτρων, αλλά αν κρίνουμε από την ποιότητα του κακόβουλου λογισμικού, είναι απίθανο οι χειριστές του ALPHV Ransomware να αναζητούν μικρές πληρωμές. Είναι πιο πιθανό να απαιτήσουν εκατομμύρια δολάρια μέσω μεταφοράς κρυπτονομισμάτων.

Οι χειριστές ALPHV Ransomware δέχονται πληρωμές μέσω Monero και Bitcoin. Φαίνεται επίσης ότι οι χρήστες που επιλέγουν να πληρώσουν για Bitcoin μπορεί να χρειαστεί να πληρώσουν 15% περισσότερο από το αρχικό ποσό λύτρων – ο λόγος για αυτό είναι άγνωστος. Μέχρι στιγμής, οι ερευνητές έχουν εντοπίσει θύματα του Ransomware ALPHV στην Ινδία, την Αυστραλία και τις ΗΠΑ – αυτό επιβεβαιώνει την παγκόσμια εμβέλεια της απειλής.

Τελευταίο αλλά εξίσου σημαντικό, οι εισβολείς ransomware απειλούν να διαρρεύσουν τα αρχεία του θύματος στο διαδίκτυο εάν δεν συμφωνήσουν να πληρώσουν. Χρησιμοποιούν επίσης μια πρόσθετη τεχνική εκβιασμού απειλώντας με DDoS το δίκτυο του θύματος εάν δεν καταβληθεί τέλος λύτρων – μια νέα προσέγγιση όταν μιλάμε για επιθέσεις ransomware.