ALPHV Ransomware
Az évek során számos nagy horderejű zsarolóprogram-projekttel találkoztunk, amelyek ritkán követik a rendszeres felhasználókat. A legtöbb esetben ezek a csúcstechnológiás fájltárolók célja, hogy megfertőzzék azon cégek és vállalkozások hálózatait, amelyek hajlandóak lennének több százezer dollárt fizetni adataik helyreállításáért. Ez az ALPHV Ransomware esete, más néven BlackCat. Ez a rosszindulatú program, amelyet először 2021 novemberében láttak, 2021 egyik legjelentősebb fájltárolójának tűnik.
ALPHV Ransomware's Hood alatt
Kezdetnek a projekt Rust programozási nyelven íródott, amely jelenleg egyre népszerűbb a rosszindulatú programok fejlesztői körében. Az egyik ok, amiért szívesebben használják a Rust-ot, az az, hogy általában hatékonyabb a teljesítmény szempontjából, és nehezebb elemezni és boncolgatni.
Úgy tűnik, hogy az ALPHV Ransomware vagy BlackCat Ransomware orosz hackerek alkotása, akik már népszerűsítik az orosz nyelvű hackerfórumokon. Úgy tűnik, hogy olyan leányvállalatokkal terveznek együttműködni, akik használni fogják a ransomware-t, miközben megtartják a váltságdíjak egy százalékát.
Az ALPHV Ransomware nem fut automatikusan, mint a legtöbb ilyen típusú rakomány. Ehelyett olyan embernek kell működtetnie, aki hozzáfér a fertőzött eszközhöz – akár fizikai, akár távoli. A parancssori felület lehetővé teszi a támadó számára, hogy válasszon a különböző titkosítási technikák közül, valamint további romboló feladatok végrehajtását is lehetővé teszi. Az ALPHV Ransomware funkciói közül néhány kiemeli, hogy képes törölni az ESXi pillanatfelvételeket és a virtuális gépek másolatait. Az ALPHV Ransomware összes hasznos adata egy JSON konfigurációs fájlhoz van párosítva, amely szerkeszthető a támadás hatókörének, a megcélzott fájlformátumoknak, valamint a folyamatok vagy szolgáltatások leállításához.
Még kifinomult konfiguráció nélkül is az ALPHV Ransomware gondoskodik arról, hogy megszüntesse az alkalmazások és szolgáltatások széles körét, amelyek megakadályozhatják a fájlok titkosítását. A támadás befejezése után az áldozatok váltságdíjat kapnak, amelynek tartalma a fent említett JSON konfigurációs fájlon keresztül szerkeszthető. Általában a "RECOVEQR-
Mit akarnak a bűnözők?
A bűnözők változó váltságdíjat követelhetnek, de a kártevő minőségéből ítélve nem valószínű, hogy az ALPHV Ransomware üzemeltetői kisebb összegeket keresnének. Valószínűbb, hogy dollármilliókat követelnek kriptovaluta-átutalással.
Az ALPHV Ransomware üzemeltetői elfogadják a Monero és a Bitcoin útján történő fizetést. Az is úgy tűnik, hogy azoknak a felhasználóknak, akik a Bitcoin fizetését választják, 15%-kal többet kell fizetniük, mint az eredeti váltságdíj – ennek oka ismeretlen. A kutatók eddig Indiában, Ausztráliában és az Egyesült Államokban azonosították az ALPHV Ransomware áldozatait – ez megerősíti a fenyegetés globális kiterjedését.
Végül, de nem utolsósorban a zsarolóvírus-támadók azzal fenyegetőznek, hogy az áldozat fájljait kiszivárogtatják az interneten, ha nem hajlandók fizetni. Egy további zsarolási technikát is alkalmaznak azzal, hogy megfenyegetik az áldozat hálózatát a DDoS-szal, ha nem fizetnek váltságdíjat – ez egy újszerű megközelítés a ransomware támadásokról.
