ALPHV løsepengeprogramvare
Gjennom årene har vi møtt mange høyprofilerte løsepengevareprosjekter som sjelden går etter vanlige brukere. I de fleste tilfeller har disse høyteknologiske fillåsene som mål å infisere nettverkene til selskaper og bedrifter som vil være villige til å betale hundretusenvis av dollar for å gjenopprette dataene deres. Dette er tilfellet med ALPHV Ransomware, også kjent som BlackCat. Denne skadevare, først sett i november 2021, ser ut til å være en av de mest fremtredende fillåsene i 2021.
Under ALPHV Ransomware's Hood
For det første er prosjektet skrevet i programmeringsspråket Rust, som for tiden øker i popularitet blant skadevareutviklere. En av grunnene til at de foretrekker å bruke Rust er fordi det har en tendens til å være mer effektivt med tanke på ytelse, og også er vanskeligere å analysere og dissekere.
ALPHV Ransomware eller BlackCat Ransomware ser ut til å være opprettelsen av russiske hackere som allerede promoterer det på russisktalende hackingfora. Det ser ut til at de planlegger å jobbe med tilknyttede selskaper som vil få bruke løsepengevaren, mens de beholder en prosent av løsepengene.
ALPHV Ransomware kjører ikke automatisk som de fleste nyttelaster av denne typen. I stedet må den betjenes av et menneske med tilgang til den infiserte enheten – enten fysisk eller ekstern. Kommandolinjegrensesnittet gjør det mulig for angriperen å velge mellom forskjellige krypteringsteknikker, samt muligheten til å utføre ytterligere destruktive oppgaver. Noen av høydepunktene til ALPHV Ransomwares funksjoner er dens evne til å slette ESXi-øyeblikksbilder og virtuelle maskinkopier. Alle nyttelastene til ALPHV Ransomware er sammenkoblet med en JSON-konfigurasjonsfil, som kan redigeres for å endre angrepets omfang, filformater det retter seg mot og prosesser eller tjenester for å avslutte.
Selv uten sofistikert konfigurasjon vil ALPHV Ransomware sørge for å avslutte et bredt spekter av apper og tjenester som kan hindre nyttelasten i å kryptere filer. Etter at angrepet er fullført, blir ofrene presentert med en løsepengenotat hvis innhold kan redigeres via JSON-konfigurasjonsfilen nevnt ovenfor. Vanligvis bruker den navnet 'RECOVEQR-
Hva vil de kriminelle?
Kriminelle kan kreve en varierende løsepenger, men å dømme etter kvaliteten på skadevaren er det usannsynlig at ALPHV Ransomwares operatører er ute etter små betalinger. Det er mer sannsynlig at de krever millioner av dollar via en kryptovalutaoverføring.
ALPHV Ransomware-operatører aksepterer betalinger via Monero og Bitcoin. Det ser også ut til at brukere som velger å betale for Bitcoin kan måtte betale 15 % mer enn det opprinnelige løsepengebeløpet – årsaken til dette er ukjent. Så langt har forskere identifisert ofre for ALPHV Ransomware i India, Australia og USA – dette bekrefter trusselens globale rekkevidde.
Sist, men ikke minst, truer ransomware-angriperne med å lekke offerets filer på nettet hvis de ikke godtar å betale. De bruker også en ekstra utpressingsteknikk ved å true offerets nettverk til DDoS hvis det ikke betales løsepenger – en ny tilnærming når de snakker om løsepengeangrep.
