ALPHV ransomware

Nel corso degli anni abbiamo riscontrato molti progetti ransomware di alto profilo che raramente inseguono gli utenti regolari. Nella maggior parte dei casi, questi file-locker ad alta tecnologia mirano a infettare le reti di aziende e imprese che sarebbero disposte a pagare centinaia di migliaia di dollari per recuperare i propri dati. Questo è il caso del ransomware ALPHV, noto anche come BlackCat. Questo malware, visto per la prima volta nel novembre 2021, sembra essere uno dei file locker più importanti del 2021.

Sotto il cappuccio del ransomware ALPHV

Per cominciare, il progetto è scritto nel linguaggio di programmazione Rust, che attualmente sta guadagnando popolarità tra gli sviluppatori di malware. Uno dei motivi per cui preferiscono utilizzare Rust è perché tende ad essere più efficiente in termini di prestazioni ed è anche più difficile da analizzare e sezionare.

L'ALPHV Ransomware o BlackCat Ransomware sembra essere la creazione di hacker russi che lo stanno già promuovendo sui forum di hacking di lingua russa. Sembra che stiano pianificando di lavorare con affiliati che potranno utilizzare il ransomware, mantenendo una percentuale delle commissioni di riscatto.

L'ALPHV Ransomware non viene eseguito automaticamente come la maggior parte dei payload di questo tipo. Invece, deve essere gestito da un essere umano con accesso al dispositivo infetto, fisico o remoto. L'interfaccia della riga di comando consente all'aggressore di scegliere tra diverse tecniche di crittografia, nonché la capacità di eseguire ulteriori attività distruttive. Alcuni dei punti salienti delle funzionalità di ALPHV Ransomware sono la sua capacità di eliminare gli snapshot ESXi e le copie delle macchine virtuali. Tutti i payload di ALPHV Ransomware sono associati a un file di configurazione JSON, che può essere modificato per modificare l'ambito dell'attacco, i formati di file a cui mira e i processi o i servizi da terminare.

Anche senza una configurazione sofisticata, ALPHV Ransomware farà in modo di terminare un'ampia gamma di app e servizi che potrebbero impedire al payload di crittografare i file. Dopo che l'attacco è stato completato, alle vittime viene presentata una richiesta di riscatto il cui contenuto è modificabile tramite il file di configurazione JSON menzionato sopra. In genere, utilizza il nome 'RECOVEQR--FILES.txt.'

Cosa vogliono i criminali?

I criminali possono richiedere una commissione di riscatto variabile, ma a giudicare dalla qualità del malware, è improbabile che gli operatori di ALPHV Ransomware stiano cercando piccoli pagamenti. È più probabile che richiedano milioni di dollari tramite un trasferimento di criptovaluta.

Gli operatori ALPHV Ransomware accettano pagamenti tramite Monero e Bitcoin. Sembra inoltre che gli utenti che scelgono di pagare per Bitcoin potrebbero dover pagare il 15% in più rispetto all'importo del riscatto originale, la ragione di ciò è sconosciuta. Finora, i ricercatori hanno identificato le vittime del ransomware ALPHV in India, Australia e Stati Uniti, il che conferma la portata globale della minaccia.

Ultimo ma non meno importante, gli aggressori ransomware minacciano di far trapelare i file della vittima online se non accettano di pagare. Usano anche un'ulteriore tecnica di estorsione minacciando di DDoS la rete della vittima se non viene pagata una tassa di riscatto: un nuovo approccio quando si parla di attacchi ransomware.