Программа-вымогатель ALPHV
За прошедшие годы мы столкнулись со многими громкими проектами вымогателей, которые редко преследуют обычных пользователей. В большинстве случаев эти высокотехнологичные файловые хранилища нацелены на заражение сетей компаний и предприятий, которые готовы заплатить сотни тысяч долларов за восстановление своих данных. Это случай программы-вымогателя ALPHV, также известной как BlackCat. Это вредоносное ПО, впервые появившееся в ноябре 2021 года, кажется одним из самых известных файловых хранилищ 2021 года.
Под капотом программы-вымогателя ALPHV
Во-первых, проект написан на языке программирования Rust, который в настоящее время набирает популярность среди разработчиков вредоносных программ. Одна из причин, по которой они предпочитают использовать Rust, заключается в том, что он более эффективен с точки зрения производительности, а также труднее анализировать и анализировать.
Похоже, что программа-вымогатель ALPHV или BlackCat Ransomware создана российскими хакерами, которые уже продвигают ее на русскоязычных хакерских форумах. Похоже, они планируют работать с аффилированными лицами, которые смогут использовать вымогателей, сохраняя при этом процент от платы за выкуп.
Программа-вымогатель ALPHV не запускается автоматически, как большинство подобных приложений. Вместо этого им должен управлять человек, имеющий доступ к зараженному устройству - физический или удаленный. Интерфейс командной строки позволяет злоумышленнику выбирать между различными методами шифрования, а также выполнять дополнительные деструктивные задачи. Одной из основных особенностей ALPHV Ransomware является его способность уничтожать моментальные снимки ESXi и копии виртуальных машин. Все полезные данные программы-вымогателя ALPHV связаны с файлом конфигурации JSON, который можно редактировать, чтобы изменить масштаб атаки, форматы файлов, на которые она нацелена, а также процессы или службы, которые необходимо прекратить.
Даже без сложной конфигурации ALPHV Ransomware обязательно завершит работу широкого спектра приложений и служб, которые могут предотвратить шифрование файлов полезной нагрузкой. После завершения атаки жертвам предоставляется записка о выкупе, содержимое которой можно редактировать с помощью файла конфигурации JSON, упомянутого выше. Обычно он использует имя «RECOVEQR-
Чего хотят преступники?
Преступники могут потребовать разную плату за выкуп, но, судя по качеству вредоносного ПО, маловероятно, что операторы ALPHV Ransomware ищут небольшие платежи. Они с большей вероятностью потребуют миллионы долларов за перевод криптовалюты.
Операторы программ-вымогателей ALPHV принимают платежи через Monero и Bitcoin. Также выясняется, что пользователям, которые предпочитают платить за биткойны, возможно, придется заплатить на 15% больше первоначальной суммы выкупа - причина этого неизвестна. На данный момент исследователи идентифицировали жертв программы-вымогателя ALPHV в Индии, Австралии и США - это подтверждает глобальный охват угрозы.
И последнее, но не менее важное: злоумышленники угрожают утечкой файлов жертвы в Интернет, если они не согласятся платить. Они также используют дополнительную технику вымогательства, угрожая DDoS-атакой сети жертвы, если не будет уплачен выкуп - новый подход, когда речь идет об атаках программ-вымогателей.
