ALPHV Ransomware

Au fil des ans, nous avons rencontré de nombreux projets de ransomware très médiatisés qui s'attaquent rarement aux utilisateurs réguliers. Dans la plupart des cas, ces casiers de fichiers de haute technologie visent à infecter les réseaux d'entreprises et d'entreprises qui seraient prêtes à payer des centaines de milliers de dollars pour récupérer leurs données. C'est le cas de l'ALPHV Ransomware, également connu sous le nom de BlackCat. Ce malware, vu pour la première fois en novembre 2021, semble être l'un des casiers de fichiers les plus importants de 2021.

Sous le capot de ALPHV Ransomware

Pour commencer, le projet est écrit dans le langage de programmation Rust, qui gagne actuellement en popularité parmi les développeurs de logiciels malveillants. L'une des raisons pour lesquelles ils préfèrent utiliser Rust est qu'il a tendance à être plus efficace en termes de performances et qu'il est également plus difficile à analyser et à disséquer.

L'ALPHV Ransomware ou BlackCat Ransomware semble être la création de pirates informatiques russes qui en font déjà la promotion sur les forums de piratage russophones. Il semble qu'ils envisagent de travailler avec des affiliés qui pourront utiliser le ransomware, tout en conservant un pour cent des frais de rançon.

L'ALPHV Ransomware ne s'exécute pas automatiquement comme la plupart des charges utiles de ce type. Au lieu de cela, il doit être utilisé par un humain ayant accès à l'appareil infecté, qu'il soit physique ou distant. L'interface de ligne de commande permet à l'attaquant de choisir entre différentes techniques de cryptage, ainsi que la possibilité d'exécuter des tâches destructrices supplémentaires. Certains des points forts des fonctionnalités d'ALPHV Ransomware sont sa capacité à effacer les instantanés ESXi et les copies de machines virtuelles. Toutes les charges utiles de l'ALPHV Ransomware sont associées à un fichier de configuration JSON, qui peut être modifié pour modifier la portée de l'attaque, les formats de fichier ciblés et les processus ou services à arrêter.

Même sans configuration sophistiquée, ALPHV Ransomware s'assurera de mettre fin à un large éventail d'applications et de services qui pourraient empêcher la charge utile de chiffrer les fichiers. Une fois l'attaque terminée, les victimes reçoivent une demande de rançon dont le contenu est modifiable via le fichier de configuration JSON mentionné ci-dessus. En règle générale, il utilise le nom 'RECOVEQR--FILES.txt.'

Que veulent les criminels ?

Les criminels peuvent exiger des frais de rançon variables, mais à en juger par la qualité du malware, il est peu probable que les opérateurs d'ALPHV Ransomware recherchent de petits paiements. Ils sont plus susceptibles de demander des millions de dollars via un transfert de crypto-monnaie.

Les opérateurs ALPHV Ransomware acceptent les paiements via Monero et Bitcoin. Il semble également que les utilisateurs qui choisissent de payer pour Bitcoin devront peut-être payer 15 % de plus que le montant initial de la rançon – la raison en est inconnue. Jusqu'à présent, les chercheurs ont identifié des victimes du ransomware ALPHV en Inde, en Australie et aux États-Unis, ce qui confirme la portée mondiale de la menace.

Enfin et surtout, les attaquants ransomware menacent de divulguer les fichiers de la victime en ligne s'ils n'acceptent pas de payer. Ils utilisent également une technique d'extorsion supplémentaire en menaçant de DDoS le réseau de la victime si des frais de rançon ne sont pas payés - une nouvelle approche lorsqu'on parle d'attaques de ransomware.