ALPHV Ransomware
In de loop der jaren zijn we veel spraakmakende ransomware-projecten tegengekomen die zelden achter reguliere gebruikers aan gaan. In de meeste gevallen zijn deze hightech bestandslockers bedoeld om de netwerken te infecteren van bedrijven en ondernemingen die bereid zouden zijn honderdduizenden dollars te betalen om hun gegevens te herstellen. Dit is het geval met de ALPHV Ransomware, ook wel bekend als BlackCat. Deze malware, voor het eerst gezien in november 2021, blijkt een van de meest prominente file-lockers van 2021 te zijn.
Onder de kap van ALPHV Ransomware
Om te beginnen is het project geschreven in de Rust-programmeertaal, die momenteel aan populariteit wint onder malware-ontwikkelaars. Een van de redenen waarom ze Rust verkiezen, is omdat het efficiënter is in termen van prestaties en ook moeilijker te analyseren en te ontleden is.
De ALPHV Ransomware of BlackCat Ransomware lijkt de creatie te zijn van Russische hackers die het al promoten op Russisch sprekende hackforums. Het lijkt erop dat ze van plan zijn om samen te werken met partners die de ransomware zullen gebruiken, terwijl ze een percentage van het losgeld behouden.
De ALPHV Ransomware wordt niet automatisch uitgevoerd zoals de meeste van dit soort payloads. In plaats daarvan moet het worden bediend door een mens met toegang tot het geïnfecteerde apparaat - fysiek of op afstand. De opdrachtregelinterface stelt de aanvaller in staat te kiezen tussen verschillende versleutelingstechnieken, evenals de mogelijkheid om aanvullende destructieve taken uit te voeren. Enkele van de hoogtepunten van de functies van ALPHV Ransomware zijn de mogelijkheid om ESXi-snapshots en kopieën van virtuele machines te wissen. Alle payloads van de ALPHV Ransomware zijn gekoppeld aan een JSON-configuratiebestand, dat kan worden bewerkt om de omvang van de aanval, de bestandsindelingen waarop het zich richt en de te beëindigen processen of services te wijzigen.
Zelfs zonder geavanceerde configuratie zorgt de ALPHV Ransomware ervoor dat een breed scala aan apps en services wordt beëindigd die kunnen voorkomen dat de payload bestanden versleutelt. Nadat de aanval is voltooid, krijgen de slachtoffers een losgeldbrief te zien waarvan de inhoud kan worden bewerkt via het hierboven genoemde JSON-configuratiebestand. Meestal wordt de naam 'RECOVEQR-
Wat willen de criminelen?
De criminelen kunnen een variërend losgeldbedrag eisen, maar gezien de kwaliteit van de malware is het onwaarschijnlijk dat de operators van ALPHV Ransomware op zoek zijn naar kleine betalingen. Ze zullen eerder miljoenen dollars vragen via een cryptocurrency-overdracht.
De ALPHV Ransomware-operators accepteren betalingen via Monero en Bitcoin. Het lijkt er ook op dat gebruikers die ervoor kiezen om voor Bitcoin te betalen mogelijk 15% meer moeten betalen dan het oorspronkelijke losgeldbedrag - de reden hiervoor is onbekend. Tot nu toe hebben onderzoekers slachtoffers van de ALPHV Ransomware geïdentificeerd in India, Australië en de VS - dit bevestigt het wereldwijde bereik van de dreiging.
Last but not least dreigen de ransomware-aanvallers de bestanden van het slachtoffer online te lekken als ze niet akkoord gaan met betalen. Ze gebruiken ook een extra afpersingstechniek door te dreigen met DDoS op het netwerk van het slachtoffer als er geen losgeld wordt betaald - een nieuwe benadering als het gaat om ransomware-aanvallen.
