ALPHV Ransomware
Bėgant metams susidūrėme su daugybe aukšto lygio išpirkos reikalaujančių projektų, kurie retai pasiduoda įprastiems vartotojams. Daugeliu atvejų šiomis aukštųjų technologijų failų saugyklomis siekiama užkrėsti įmonių ir įmonių tinklus, kurios būtų pasirengusios mokėti šimtus tūkstančių dolerių už savo duomenų atkūrimą. Tai yra ALPHV Ransomware, dar žinomo kaip BlackCat, atvejis. Ši kenkėjiška programa, pirmą kartą pastebėta 2021 m. lapkritį, atrodo kaip viena ryškiausių 2021 m. failų saugyklų.
Pagal ALPHV Ransomware gaubtą
Pradedantiesiems projektas parašytas Rust programavimo kalba, kuri šiuo metu populiarėja tarp kenkėjiškų programų kūrėjų. Viena iš priežasčių, kodėl jie nori naudoti Rust, yra ta, kad ji paprastai yra efektyvesnė, be to, ją sunkiau analizuoti ir išskaidyti.
Panašu, kad „ALPHV Ransomware“ arba „BlackCat Ransomware“ yra rusų įsilaužėlių kūrinys, kurie jau reklamuoja ją rusakalbiuose įsilaužimo forumuose. Panašu, kad jie planuoja bendradarbiauti su filialais, kurie galės naudoti išpirkos reikalaujančią programinę įrangą, išlaikydami procentą nuo išpirkos mokesčių.
ALPHV Ransomware neveikia automatiškai, kaip dauguma tokio tipo naudingų krovinių. Vietoj to, jį turi valdyti žmogus, turintis prieigą prie užkrėsto įrenginio – fizinio arba nuotolinio. Komandinės eilutės sąsaja leidžia užpuolikui pasirinkti vieną iš skirtingų šifravimo būdų, taip pat galimybę atlikti papildomas destruktyvias užduotis. Kai kurios svarbiausios ALPHV Ransomware funkcijos yra jos galimybė ištrinti ESXi momentines nuotraukas ir virtualios mašinos kopijas. Visi ALPHV Ransomware naudingi kroviniai yra suporuoti su JSON konfigūracijos failu, kurį galima redaguoti, kad būtų pakeista atakos apimtis, failų formatai, kuriais ji taikoma, ir procesai ar paslaugos, kad būtų nutrauktas.
Net ir be sudėtingos konfigūracijos, ALPHV Ransomware užtikrins, kad bus nutraukta daugybė programų ir paslaugų, kurios gali neleisti naudingajam kroviniui užšifruoti failų. Užbaigus ataką, aukoms pateikiamas išpirkos raštas, kurio turinį galima redaguoti naudojant aukščiau minėtą JSON konfigūracijos failą. Paprastai jis naudoja pavadinimą „RECOVEQR-
Ko nori nusikaltėliai?
Nusikaltėliai gali reikalauti įvairaus išpirkos mokesčio, tačiau, sprendžiant iš kenkėjiškų programų kokybės, mažai tikėtina, kad ALPHV Ransomware operatoriai ieško nedidelių mokėjimų. Labiau tikėtina, kad jie pareikalaus milijonų dolerių per kriptovaliutos pervedimą.
ALPHV Ransomware operatoriai priima mokėjimus per Monero ir Bitcoin. Taip pat atrodo, kad vartotojams, kurie pasirenka mokėti už Bitcoin, gali tekti sumokėti 15% daugiau nei pradinė išpirkos suma – to priežastis nežinoma. Iki šiol mokslininkai nustatė ALPHV Ransomware aukas Indijoje, Australijoje ir JAV – tai patvirtina grėsmės mastą visame pasaulyje.
Paskutinis, bet ne mažiau svarbus dalykas yra tai, kad išpirkos reikalaujantys užpuolikai grasina nutekinti aukos failus internete, jei jie nesutiks mokėti. Jie taip pat naudoja papildomą turto prievartavimo techniką, grasindami DDoS aukos tinklui, jei nebus sumokėtas išpirkos mokestis – tai naujas požiūris kalbant apie išpirkos reikalaujančių programų atakas.
