ALPHV-Ransomware
Im Laufe der Jahre sind wir auf viele hochkarätige Ransomware-Projekte gestoßen, die selten normale Benutzer verfolgen. In den meisten Fällen zielen diese High-Tech-Dateischließfächer darauf ab, die Netzwerke von Unternehmen und Unternehmen zu infizieren, die bereit wären, Hunderttausende von Dollar für die Wiederherstellung ihrer Daten zu zahlen. Dies ist bei der ALPHV Ransomware, auch bekannt als BlackCat, der Fall. Diese Malware, die erstmals im November 2021 zu sehen war, scheint einer der bekanntesten File-Locker des Jahres 2021 zu sein.
Unter der Haube von ALPHV Ransomware
Für den Anfang ist das Projekt in der Programmiersprache Rust geschrieben, die derzeit bei Malware-Entwicklern immer beliebter wird. Einer der Gründe, warum sie Rust bevorzugen, ist, dass es in Bezug auf die Leistung tendenziell effizienter und auch schwieriger zu analysieren und zu analysieren ist.
Die ALPHV Ransomware oder BlackCat Ransomware scheint die Schöpfung russischer Hacker zu sein, die sie bereits in russischsprachigen Hacking-Foren bewerben. Es scheint, dass sie planen, mit Partnern zusammenzuarbeiten, die die Ransomware verwenden können, während sie einen Prozentsatz der Lösegeldgebühren einbehalten.
Die ALPHV Ransomware läuft nicht automatisch wie die meisten Payloads dieser Art. Stattdessen muss es von einem Menschen mit Zugriff auf das infizierte Gerät bedient werden – entweder physisch oder aus der Ferne. Die Befehlszeilenschnittstelle ermöglicht dem Angreifer die Wahl zwischen verschiedenen Verschlüsselungstechniken sowie die Möglichkeit, zusätzliche destruktive Aufgaben auszuführen. Einige der Highlights der Funktionen von ALPHV Ransomware sind die Fähigkeit, ESXi-Snapshots und Kopien von virtuellen Maschinen zu löschen. Alle Nutzlasten der ALPHV-Ransomware sind mit einer JSON-Konfigurationsdatei gekoppelt, die bearbeitet werden kann, um den Umfang des Angriffs, die Dateiformate, auf die er abzielt, und die zu beendenden Prozesse oder Dienste zu ändern.
Auch ohne ausgefeilte Konfiguration stellt die ALPHV Ransomware sicher, dass eine Vielzahl von Apps und Diensten beendet wird, die die Verschlüsselung von Dateien durch die Nutzlast verhindern könnten. Nach Abschluss des Angriffs wird den Opfern eine Lösegeldforderung vorgelegt, deren Inhalt über die oben erwähnte JSON-Konfigurationsdatei bearbeitet werden kann. Normalerweise verwendet es den Namen 'RECOVEQR-
Was wollen die Kriminellen?
Die Kriminellen verlangen möglicherweise eine unterschiedliche Lösegeldgebühr, aber gemessen an der Qualität der Malware ist es unwahrscheinlich, dass die Betreiber von ALPHV Ransomware nach kleinen Zahlungen suchen. Sie verlangen eher Millionen von Dollar über eine Kryptowährungsüberweisung.
Die Betreiber von ALPHV Ransomware akzeptieren Zahlungen über Monero und Bitcoin. Es scheint auch, dass Benutzer, die sich für Bitcoin entscheiden, möglicherweise 15% mehr als den ursprünglichen Lösegeldbetrag zahlen müssen – der Grund dafür ist unbekannt. Bisher haben Forscher Opfer der ALPHV-Ransomware in Indien, Australien und den USA identifiziert – dies bestätigt die globale Reichweite der Bedrohung.
Zu guter Letzt drohen die Ransomware-Angreifer damit, die Dateien des Opfers online zu veröffentlichen, wenn diese nicht mit der Zahlung einverstanden sind. Sie verwenden auch eine zusätzliche Erpressungstechnik, indem sie das Netzwerk des Opfers mit DDoS bedrohen, wenn eine Lösegeldgebühr nicht gezahlt wird – ein neuartiger Ansatz, wenn es um Ransomware-Angriffe geht.
