ALPHV Ransomware
ALPHV Ransomware parece estar entre las amenazas más sofisticadas de este tipo y también lo es la operación amenazadora responsable de su liberación. Esta amenaza de ransomware en particular fue descubierta por los investigadores de infosec, que también la rastrean con el nombre de BlackCat. La amenaza es altamente personalizable, lo que permite incluso a los ciberdelincuentes no tan expertos en tecnología ajustar sus funciones y lanzar ataques contra un gran conjunto de plataformas.
Tabla de contenido
Operación de ALPHV
ALPHV Ransomware está siendo promovido por sus creadores en foros de hackers de habla rusa. La amenaza parece ofrecerse en un esquema RaaS (Ransomware-as-a-Service) con los operadores del malware buscando reclutar afiliados dispuestos que realizarán los ataques reales y las brechas de red. Posteriormente, el dinero recibido de las víctimas como pago de rescate se dividirá entre las partes involucradas.
El porcentaje tomado por los creadores de ALPHV se basa en la suma exacta del rescate. Para pagos de rescate que alcancen hasta $ 1,5 millones, se quedarán con el 20% de los fondos, mientras que para pagos entre $ 1,5 y $ 3 millones obtendrán un recorte del 15%. Si los afiliados logran recibir un rescate de más de $ 3 millones, se les permitirá quedarse con el 90% del dinero.
Se cree que la campaña de ataque está activa desde al menos noviembre de 2021. Hasta ahora, se han identificado víctimas de ALPHV Ransomware en EE. UU., Australia e India.
Detalles técnicos
El ALPHV Ransomware está escrito utilizando el lenguaje de programación Rust. Rust no es una opción común entre los desarrolladores de malware, pero está ganando terreno debido a sus características. La amenaza presenta un sólido conjunto de funcionalidades intrusivas. Es capaz de realizar 4 rutinas de cifrado diferentes en función de las preferencias de los atacantes. También utiliza 2 algoritmos criptográficos diferentes: CHACHA20 y AES. El ransomware buscará entornos virtuales e intentará eliminarlos. También borrará automáticamente cualquier instantánea de ESXi para evitar la recuperación.
Para infligir el mayor daño posible, ALPHV puede eliminar los procesos de las aplicaciones activas que podrían interferir con su cifrado, por ejemplo, manteniendo abierto un archivo específico. La amenaza puede terminar los procesos de Veeam, productos de software de respaldo, Microsoft Exchange, MS Office, clientes de correo, la popular tienda de videojuegos Steam, servidores de bases de datos, etc. Además, ALPHV Ransomware eliminará las instantáneas de volumen de los archivos de la víctima. Limpie la Papelera de reciclaje en el sistema, busque otros dispositivos de red e intente conectarse a un clúster de Microsoft.
Si se configura con las credenciales de dominio adecuadas, ALPHV puede incluso extenderse a otros dispositivos conectados a la red vulnerada. La amenaza extraerá PSExec a la carpeta% Temp% y luego procederá a copiar la carga útil a los otros dispositivos. Mientras tanto, los atacantes pueden monitorear el progreso de la infección a través de una interfaz de usuario basada en consola.
La nota de rescate y las demandas
Los afiliados pueden modificar la amenaza según sus preferencias. Pueden personalizar la extensión de archivo utilizada, la nota de rescate, la forma en que se cifrarán los datos de la víctima, qué carpetas o extensiones de archivo se excluirán y más. La nota de rescate en sí se entregará como un archivo de texto con un nombre que sigue este patrón: 'RECUPERAR- [extensión] -FILES.txt'. Las notas de rescate se adaptarán a cada víctima. Hasta ahora, las víctimas han recibido instrucciones de que pueden pagar a los piratas informáticos utilizando las criptomonedas Bitcoin o Monero.Sin embargo, para los pagos de Bitcoin, los piratas informáticos agregarán un impuesto del 15%.
Algunas notas de rescate también incluyen enlaces a un sitio de filtración de TOR dedicado y otro propio para contactar con los atacantes. De hecho, ALPHV utiliza múltiples tácticas de extorsión para que sus víctimas paguen con los ciberdelincuentes que recopilan archivos importantes de los dispositivos infectados antes de cifrar los datos almacenados allí. Si sus demandas no se cumplen, los piratas informáticos amenazan con publicar la información al público. También se advierte a las víctimas que serán sometidas a ataques DDoS si se niegan a pagar.
Para mantener las negociaciones con las víctimas en privado y evitar que los expertos en ciberseguridad husmeen, los operadores de ALPHV han implementado un argumento de línea de comandos --access-token = [access_token]. El token se utiliza en la creación de una clave de acceso necesaria para ingresar a la función de chat de negociación en el sitio web TOR del pirata informático.
ALPHV Ransomware es una amenaza extremadamente dañina con características altamente sofisticadas y la capacidad de infectar múltiples sistemas operativos. Se puede ejecutar en todos los sistemas Windows 7 y superior, ESXI, Debian, Ubuntu, ReadyNAS y Synology.
