ALPHV Ransomware
Under åren har vi stött på många högprofilerade ransomware-projekt som sällan går efter vanliga användare. I de flesta fall syftar dessa högteknologiska fillås till att infektera nätverk av företag och företag som skulle vara villiga att betala hundratusentals dollar för att återställa sina data. Detta är fallet med ALPHV Ransomware, även känd som BlackCat. Denna skadliga programvara, som först sågs i november 2021, verkar vara en av de mest framträdande fillåsen under 2021.
Under ALPHV Ransomware's Hood
Till att börja med är projektet skrivet på programmeringsspråket Rust, som för närvarande vinner popularitet bland utvecklare av skadlig programvara. En av anledningarna till att de föredrar att använda Rust är för att det tenderar att vara mer effektivt när det gäller prestanda, och dessutom är svårare att analysera och dissekera.
ALPHV Ransomware eller BlackCat Ransomware verkar vara skapandet av ryska hackare som redan marknadsför det på rysktalande hackingforum. Det verkar som att de planerar att arbeta med affiliates som kommer att få använda ransomware, samtidigt som de behåller en procent av lösenavgifterna.
ALPHV Ransomware körs inte automatiskt som de flesta nyttolaster av detta slag. Istället måste den drivas av en människa med tillgång till den infekterade enheten – antingen fysisk eller fjärrkontroll. Kommandoradsgränssnittet gör det möjligt för angriparen att välja mellan olika krypteringstekniker, samt möjligheten att utföra ytterligare destruktiva uppgifter. Några av höjdpunkterna i ALPHV Ransomwares funktioner är dess förmåga att radera ESXi-ögonblicksbilder och virtuella maskinkopior. Alla nyttolaster av ALPHV Ransomware är ihopparade med en JSON-konfigurationsfil, som kan redigeras för att ändra attackens omfattning, filformat som den riktar sig till och processer eller tjänster för att avsluta.
Även utan sofistikerad konfiguration kommer ALPHV Ransomware att se till att avsluta ett brett utbud av appar och tjänster som kan hindra nyttolasten från att kryptera filer. Efter att attacken är slutförd, presenteras offren för en lösensumma vars innehåll kan redigeras via JSON-konfigurationsfilen som nämns ovan. Vanligtvis använder den namnet 'RECOVEQR-
Vad vill brottslingarna?
Brottslingarna kan kräva en varierande lösensumma, men att döma av kvaliteten på skadlig programvara är det osannolikt att ALPHV Ransomwares operatörer letar efter små betalningar. De är mer benägna att kräva miljontals dollar via en kryptovalutaöverföring.
ALPHV Ransomware-operatörer accepterar betalningar via Monero och Bitcoin. Det verkar också som att användare som väljer att betala för Bitcoin kan behöva betala 15 % mer än det ursprungliga lösensumman – orsaken till detta är okänd. Hittills har forskare identifierat offer för ALPHV Ransomware i Indien, Australien och USA – detta bekräftar hotets globala räckvidd.
Sist men inte minst hotar ransomware-angriparna att läcka offrets filer online om de inte går med på att betala. De använder också en ytterligare utpressningsteknik genom att hota att DDoS offrets nätverk om en lösensumma inte betalas – ett nytt tillvägagångssätt när man talar om ransomware-attacker.
