ALPHV Ransomware

Ao longo dos anos, encontramos muitos projetos de ransomware de alto perfil que raramente perseguem usuários regulares. Na maioria dos casos, esses armários de arquivos de alta tecnologia visam infectar as redes de empresas e empresas que estariam dispostas a pagar centenas de milhares de dólares para recuperar seus dados. É o caso do ALPHV Ransomware, também conhecido como BlackCat. Este malware, visto pela primeira vez em novembro de 2021, parece ser um dos mais proeminentes armários de arquivos de 2021.

Sob o capô do ALPHV Ransomware

Para começar, o projeto foi escrito na linguagem de programação Rust, que atualmente está ganhando popularidade entre os desenvolvedores de malware. Uma das razões pelas quais eles preferem usar o Rust é porque ele tende a ser mais eficiente em termos de desempenho e também é mais difícil de analisar e dissecar.

O ALPHV Ransomware ou BlackCat Ransomware parece ser uma criação de hackers russos que já o estão promovendo em fóruns de hackers de língua russa. Parece que eles estão planejando trabalhar com afiliados que poderão usar o ransomware, enquanto ficam com um por cento das taxas de resgate.

O ALPHV Ransomware não é executado automaticamente como a maioria das cargas desse tipo. Em vez disso, ele precisa ser operado por um ser humano com acesso ao dispositivo infectado - físico ou remoto. A interface da linha de comando permite que o invasor escolha entre diferentes técnicas de criptografia, bem como a capacidade de executar tarefas destrutivas adicionais. Alguns dos destaques dos recursos do ALPHV Ransomware são sua capacidade de eliminar instantâneos ESXi e cópias de máquinas virtuais. Todas as cargas do ALPHV Ransomware são emparelhadas com um arquivo de configuração JSON, que pode ser editado para modificar o escopo do ataque, formatos de arquivo que ele visa e processos ou serviços para encerrar.

Mesmo sem uma configuração sofisticada, o ALPHV Ransomware se certificará de encerrar uma ampla gama de aplicativos e serviços que podem impedir que a carga útil criptografe os arquivos. Após a conclusão do ataque, as vítimas recebem uma nota de resgate cujo conteúdo pode ser editado por meio do arquivo de configuração JSON mencionado acima. Normalmente, ele usa o nome 'RECOVEQR- -FILES.txt.'

O que os criminosos querem?

Os criminosos podem exigir uma taxa de resgate variável, mas a julgar pela qualidade do malware, é improvável que os operadores do ALPHV Ransomware estejam procurando por pequenos pagamentos. É mais provável que exijam milhões de dólares por meio de uma transferência de criptomoeda.

Os operadores ALPHV Ransomware aceitam pagamentos via Monero e Bitcoin. Também parece que os usuários que optam por pagar pelo Bitcoin podem precisar pagar 15% a mais do que o valor original do resgate - a razão para isso é desconhecida. Até agora, os pesquisadores identificaram vítimas do ALPHV Ransomware na Índia, Austrália e EUA - isso confirma o alcance global da ameaça.

Por último, mas não menos importante, os atacantes de ransomware ameaçam vazar os arquivos da vítima online se eles não concordarem em pagar. Eles também usam uma técnica de extorsão adicional ao ameaçar com DDoS a rede da vítima se uma taxa de resgate não for paga - uma abordagem nova quando se fala em ataques de ransomware.