ALPHV ransomware
A lo largo de los años, nos hemos encontrado con muchos proyectos de ransomware de alto perfil que rara vez persiguen a los usuarios habituales. En la mayoría de los casos, estos casilleros de archivos de alta tecnología tienen como objetivo infectar las redes de empresas y empresas que estarían dispuestas a pagar cientos de miles de dólares para recuperar sus datos. Este es el caso del ALPHV Ransomware, también conocido como BlackCat. Este malware, visto por primera vez en noviembre de 2021, parece ser uno de los casilleros de archivos más destacados de 2021.
Bajo la capucha de ALPHV Ransomware
Para empezar, el proyecto está escrito en el lenguaje de programación Rust, que actualmente está ganando popularidad entre los desarrolladores de malware. Una de las razones por las que prefieren usar Rust es porque tiende a ser más eficiente en términos de rendimiento y también es más difícil de analizar y diseccionar.
El ALPHV Ransomware o BlackCat Ransomware parece ser la creación de piratas informáticos rusos que ya lo están promocionando en foros de piratería de habla rusa. Parece que están planeando trabajar con afiliados que podrán usar el ransomware, mientras se quedan con un porcentaje de las tarifas de rescate.
ALPHV Ransomware no se ejecuta automáticamente como la mayoría de las cargas útiles de este tipo. En cambio, debe ser operado por un humano con acceso al dispositivo infectado, ya sea físico o remoto. La interfaz de línea de comandos permite al atacante elegir entre diferentes técnicas de cifrado, así como la capacidad de ejecutar tareas destructivas adicionales. Algunos de los aspectos más destacados de las características de ALPHV Ransomware son su capacidad para eliminar instantáneas de ESXi y copias de máquinas virtuales. Todas las cargas útiles de ALPHV Ransomware están emparejadas con un archivo de configuración JSON, que podría editarse para modificar el alcance del ataque, los formatos de archivo a los que se dirige y los procesos o servicios para finalizar.
Incluso sin una configuración sofisticada, ALPHV Ransomware se asegurará de finalizar una amplia gama de aplicaciones y servicios que podrían evitar que la carga útil cifre archivos. Una vez que se completa el ataque, a las víctimas se les presenta una nota de rescate cuyo contenido se puede editar a través del archivo de configuración JSON mencionado anteriormente. Normalmente, utiliza el nombre 'RECOVEQR-
¿Qué quieren los criminales?
Los delincuentes pueden exigir una tarifa de rescate variable, pero a juzgar por la calidad del malware, es poco probable que los operadores de ALPHV Ransomware estén buscando pagos pequeños. Es más probable que exijan millones de dólares a través de una transferencia de criptomonedas.
Los operadores de ALPHV Ransomware aceptan pagos a través de Monero y Bitcoin. También parece que los usuarios que optan por pagar por Bitcoin pueden tener que pagar un 15% más que el monto del rescate original; se desconoce el motivo de esto. Hasta ahora, los investigadores han identificado víctimas del ALPHV Ransomware en India, Australia y EE. UU., Lo que confirma el alcance global de la amenaza.
Por último, pero no menos importante, los atacantes de ransomware amenazan con filtrar los archivos de la víctima en línea si no aceptan pagar. También utilizan una técnica de extorsión adicional al amenazar con DDoS a la red de la víctima si no se paga una tarifa de rescate, un enfoque novedoso cuando se habla de ataques de ransomware.
