ALPHV Ransomware
Przez lata natknęliśmy się na wiele głośnych projektów ransomware, które rzadko ścigają zwykłych użytkowników. W większości przypadków te zaawansowane technologicznie programy do blokowania plików mają na celu zainfekowanie sieci firm i przedsiębiorstw, które byłyby skłonne zapłacić setki tysięcy dolarów za odzyskanie swoich danych. Tak jest w przypadku oprogramowania ransomware ALPHV, znanego również jako BlackCat. To złośliwe oprogramowanie, po raz pierwszy zaobserwowane w listopadzie 2021 r., wydaje się być jedną z najbardziej znanych programów do blokowania plików w 2021 r.
Pod maską ALPHV Ransomware
Na początek projekt napisany jest w języku programowania Rust, który obecnie zyskuje na popularności wśród twórców złośliwego oprogramowania. Jednym z powodów, dla których wolą używać Rust, jest to, że jest on bardziej wydajny pod względem wydajności, a także trudniejszy do analizy i analizy.
ALPHV Ransomware lub BlackCat Ransomware wydaje się być dziełem rosyjskich hakerów, którzy już promują je na rosyjskojęzycznych forach hakerskich. Wygląda na to, że planują współpracować z podmiotami stowarzyszonymi, które będą mogły korzystać z oprogramowania ransomware, jednocześnie zachowując procent opłat za okup.
ALPHV Ransomware nie działa automatycznie, jak większość tego typu ładunków. Zamiast tego musi być obsługiwany przez człowieka, który ma dostęp do zainfekowanego urządzenia – fizycznego lub zdalnego. Interfejs wiersza poleceń umożliwia atakującemu wybór między różnymi technikami szyfrowania, a także możliwość wykonywania dodatkowych destrukcyjnych zadań. Niektóre z najważniejszych funkcji ALPHV Ransomware to możliwość usuwania migawek ESXi i kopii maszyn wirtualnych. Wszystkie ładunki ALPHV Ransomware są sparowane z plikiem konfiguracyjnym JSON, który można edytować, aby zmodyfikować zakres ataku, formaty plików, do których jest skierowany, oraz procesy lub usługi do zakończenia.
Nawet bez zaawansowanej konfiguracji, ALPHV Ransomware zapewni zamknięcie szerokiej gamy aplikacji i usług, które mogą uniemożliwić szyfrowanie plików przez ładunek. Po zakończeniu ataku ofiarom przedstawia się żądanie okupu, którego zawartość można edytować za pomocą wspomnianego powyżej pliku konfiguracyjnego JSON. Zwykle używa nazwy „RECOVEQR-
Czego chcą przestępcy?
Przestępcy mogą żądać różnej opłaty okupu, ale sądząc po jakości złośliwego oprogramowania, jest mało prawdopodobne, aby operatorzy ALPHV Ransomware szukali niewielkich płatności. Bardziej prawdopodobne jest, że zażądają milionów dolarów za pośrednictwem przelewu kryptowalutowego.
Operatorzy ALPHV Ransomware akceptują płatności za pośrednictwem Monero i Bitcoin. Wydaje się również, że użytkownicy, którzy zdecydują się zapłacić za Bitcoin, mogą być zmuszeni zapłacić 15% więcej niż pierwotna kwota okupu – przyczyna tego nie jest znana. Do tej pory badacze zidentyfikowali ofiary ALPHV Ransomware w Indiach, Australii i USA – to potwierdza globalny zasięg zagrożenia.
Wreszcie, osoby atakujące ransomware grożą ujawnieniem plików ofiary online, jeśli nie zgodzą się zapłacić. Wykorzystują również dodatkową technikę wymuszeń, grożąc DDoS sieci ofiary, jeśli nie zostanie zapłacona opłata okupu – jest to nowatorskie podejście w przypadku ataków ransomware.
