Alerta roja (N13V) Ransomware

RedAlert (N13V) Ransomware es un malware multiplataforma que se dirige a los datos de sus víctimas. La versión de Windows del malware se rastrea como RedALert, mientras que N13V está diseñado específicamente para estar activo en servidores Linux VMware ESXi. Como la mayoría de los ataques de ransomware, la amenaza bloquea los datos que se encuentran en los sistemas violados mediante el uso de un algoritmo criptográfico imposible de descifrar. Cada archivo procesado tendrá una nueva extensión, que consistirá en '.crypt' seguido de un cierto número adjunto a su nombre original. Cuando se hayan cifrado todos los tipos de archivos específicos, RedAlert (N13V) Ransomware creará un nuevo archivo de texto en el dispositivo infectado.

Llamado 'HOW_TO_RESTORE.txt', el propósito del archivo es entregar una nota de rescate con instrucciones de los atacantes. El mensaje de RedAlert (N13V) Ransomware indica claramente que sus operadores apuntan principalmente a entidades corporativas. También revela que los atacantes están ejecutando un esquema de doble extorsión. Aparentemente, además de bloquear los archivos de la víctima, los atacantes también recopilan varios datos confidenciales, como contratos, documentos financieros, extractos bancarios, datos de empleados y clientes, etc. Toda la información recopilada se extrae a un servidor remoto, y los piratas informáticos amenazan con liberarla. al público si no son contactados por las víctimas dentro de las 72 horas.

La amenaza dirige a las víctimas a visitar el sitio web dedicado del hacker alojado en la red Tor. El sitio supuestamente permitirá a las víctimas enviar un par de archivos cifrados para desbloquearlos de forma gratuita, pagar el rescate exigido y recibir una herramienta de descifrado especializada. Por supuesto, la comunicación con los ciberdelincuentes es intrínsecamente riesgosa y podría exponer a la víctima a problemas adicionales de privacidad o seguridad.

El conjunto completo de instrucciones entregadas a través del archivo de texto es:

'Hola,
Su red fue penetrada
Ciframos sus archivos y robamos una gran cantidad de datos confidenciales, que incluyen:

Contratos NDA y datos

Documentos financieros, nóminas, extractos bancarios

Datos del empleado, documentos personales, SSN, DL, CC

Datos de clientes, contratos, acuerdos de compra, etc.

Credenciales para dispositivos locales y remotos
Y más…
El cifrado es un proceso reversible, sus datos se pueden recuperar fácilmente con nuestra ayuda
Le ofrecemos comprar un software de descifrado especial, el pago incluye el descifrador, la clave y el borrado de los datos robados.
Si comprende toda la seriedad de esta situación y está listo para cooperar con nosotros, siga los siguientes pasos:
1) Descargue el navegador TOR desde hxxps://torproject.org
2) Instale y ejecute el navegador TOR
3) Visite nuestra página web: hxxx://gwvueqclwkz3h7u75cks2wmrwymg3qemfyoyqs7vexkx7lhlteagmsyd.onion
En nuestra página web, podrá comprar un descifrador, chatear con nuestro soporte y descifrar algunos archivos de forma gratuita.
Si no se comunica con nosotros en 72 horas, comenzaremos a publicar los datos robados en nuestro blog parte por parte, el sitio DDoS de su empresa y llamaremos a los empleados de su empresa.
Hemos analizado la documentación financiera de su empresa por lo que le ofreceremos el precio adecuado
Para evitar la pérdida de datos y el aumento de los costos adicionales:
1) No modifique el contenido de los archivos cifrados
2) No informe a las autoridades locales sobre este incidente antes del final de nuestro trato
3) No contrate empresas de recuperación para negociar con nosotros
Garantizamos que nuestro diálogo seguirá siendo privado y los terceros nunca sabrán sobre nuestro trato.

REDALERT IDENTIFICADOR ÚNICO INICIO'