ΑρχικήsecurityRedAlert ransomware: Στοχεύει Windows και Linux VMWare ESXi servers

RedAlert ransomware: Στοχεύει Windows και Linux VMWare ESXi servers

Ένα νέο ransomware που ονομάζεται RedAlert ή N13V, κρυπτογραφεί Windows και Linux VMWare ESXi servers σε επιθέσεις σε εταιρικά δίκτυα. Η νέα επιχείρηση ransomware ανακαλύφθηκε από το MalwareHunterTeam, που δημοσίευσε στο Twitter διάφορες εικόνες από το site διαρροής δεδομένων της συμμορίας.

RedAlert ransomware

Το ransomware ονομάζεται “RedAlert” με βάση μια συμβολοσειρά που χρησιμοποιείται στο σημείωμα λύτρων που αφήνει στα θύματά του. Ωστόσο, φαίνεται πως οι ίδιοι οι επιτιθέμενοι ονομάζουν το ransomware “N13V“, σύμφωνα με ένα Linux encryptor που είδε το BleepingComputer.

Δείτε επίσης: WhatsApp: Νέο scam υπόσχεται μια βίζα για το Ηνωμένο Βασίλειο

Το Linux encryptor έχει δημιουργηθεί για να στοχεύει VMware ESXi servers, με command-line options που επιτρέπουν στους επιτιθέμενους να τερματίζουν τυχόν εικονικές μηχανές που εκτελούνται, πριν από την κρυπτογράφηση αρχείων.

Παρακάτω, μπορείτε να δείτε την πλήρη λίστα των command-line options:

-w	 Run command for stop all running VM`s
-p	 Path to encrypt (by default encrypt only files in directory, not include subdirectories)
-f	 File for encrypt
-r	 Recursive. used only with -p ( search and encryption will include subdirectories )
-t	 Check encryption time(only encryption, without key-gen, memory allocates ...)
-n	 Search without file encryption.(show ffiles and folders with some info)
-x	 Asymmetric cryptography performance tests. DEBUG TESTS
-h	 Show this message

Κατά την εκτέλεση του ransomware (με ‘-w’ argument), το Linux encryptor θα τερματίσει όλες τις εικονικές μηχανές VMware ESXi που εκτελούνται χρησιμοποιώντας την ακόλουθη εντολή esxcli:

esxcli --formatter=csv --format-param=fields=="WorldID,DisplayName" vm process list | tail -n +2 | awk -F $',' '{system("esxcli vm process kill --type=force --world-id=" $1)}'

Κατά την κρυπτογράφηση αρχείων, το RedAlert ή N13V ransomware χρησιμοποιεί τον αλγόριθμο κρυπτογράφησης NTRUEncrypt, ο οποίος υποστηρίζει διάφορα “Σύνολα παραμέτρων” που προσφέρουν διαφορετικά επίπεδα ασφάλειας.

Ένα ενδιαφέρον χαρακτηριστικό του RedAlert/N13V είναι η το ‘-x’ command-line option που εκτελεί “asymmetric cryptography performance testing” χρησιμοποιώντας αυτά τα διαφορετικά σύνολα παραμέτρων NTRUEncrypt.

Δείτε επίσης: AstraLocker ransomware: Τερματίζει τη λειτουργία του και κυκλοφορεί εργαλεία αποκρυπτογράφησης

Κατά την κρυπτογράφηση αρχείων, το ransomware στοχεύει μόνο αρχεία που σχετίζονται με εικονικές μηχανές VMware ESXi, συμπεριλαμβανομένων log files, swap files, virtual disks και memory files:

.log
.vmdk
.vmem
.vswp
.vmsn

Στο δείγμα που αναλύθηκε από το BleepingComputer, το ransomware μπορούσε να κρυπτογραφήσει αυτούς τους τύπους αρχείων και στο τέλος προσέθετε την επέκταση .crypt658 στα ονόματα των κρυπτογραφημένων αρχείων.

Σε κάθε φάκελο, το ransomware δημιουργεί ένα custom σημείωμα λύτρων με το όνομα HOW_TO_RESTORE, που αναφέρει στοιχεία για τα κλεμμένα δεδομένα και περιλαμβάνει και έναν σύνδεσμο προς έναν μοναδικό ιστότοπο πληρωμής λύτρων TOR για το θύμα.

Ο ιστότοπος πληρωμής Tor είναι παρόμοιος με άλλα αντίστοιχα sites ransomware συμμοριών και ζητά λύτρα από τα θύματα, παρέχοντας και έναν τρόπο διαπραγμάτευσης με τους φορείς απειλών.

Δείτε επίσης: Υπάλληλος της HackerOne απέκτησε παράνομη πρόσβαση σε bug reports

Ωστόσο, η συμμορία πίσω από το RedAlert/N13V ransomware, δέχεται μόνο Monero cryptocurrency.

ransomware Linux

Προς το παρόν, έχει βρεθεί μόνο ένα Linux encryptor, αλλά το site πληρωμών έχει κρυφά στοιχεία που δείχνουν ότι υπάρχουν και Windows decryptors.

Όπως κάνουν οι περισσότερες συμμορίες ransomware, έτσι και η RedAlert πραγματοποιεί επιθέσεις διπλού εκβιασμού, δηλαδή κλέβει δεδομένα και, στη συνέχεια, κρυπτογραφεί συσκευές.

Αυτή η τακτική ονομάζεται τακτική διπλού εκβιασμού γιατί επιτρέπει στους παράγοντες απειλής να απαιτήσουν λύτρα τόσο για την αποκρυπτογράφηση των αρχείων όσο και για τη μη διαρροή των κλεμμένων δεδομένων.

Όταν ένα θύμα δεν πληρώνει λύτρα, η συμμορία RedAlert δημοσιεύει τα κλεμμένα δεδομένα στο site διαρροής δεδομένων. Προς το παρόν, το site περιέχει τα δεδομένα μόνο ενός οργανισμού, υποδεικνύοντας ότι η επιχείρηση είναι νέα.

Πηγή: www.bleepingcomputer.com

Digital Fortress
Digital Fortresshttps://www.secnews.gr
Pursue Your Dreams & Live!

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS