ALPHV-Ransomware
Die ALPHV Ransomware scheint eine der ausgeklügelsten Bedrohungen dieser Art zu sein, ebenso wie die bedrohliche Operation, die für ihre Veröffentlichung verantwortlich ist. Diese spezielle Ransomware-Bedrohung wurde von den infosec-Forschern entdeckt, die sie auch unter dem Namen BlackCat verfolgen. Die Bedrohung ist hochgradig anpassbar, sodass selbst nicht so technisch versierte Cyberkriminelle ihre Funktionen anpassen und Angriffe gegen eine Vielzahl von Plattformen starten können.
Inhaltsverzeichnis
Der Betrieb von ALPHV
Die ALPHV Ransomware wird von ihren Schöpfern in russischsprachigen Hackerforen beworben. Die Bedrohung scheint in einem RaaS-Schema (Ransomware-as-a-Service) angeboten zu werden, bei dem die Betreiber der Malware nach willigen Partnern suchen, die die tatsächlichen Angriffe und Netzwerkverletzungen durchführen. Anschließend wird das von den Opfern als Lösegeld erhaltene Geld zwischen den Beteiligten aufgeteilt.
Der von den ALPHV-Erstellern eingenommene Prozentsatz basiert auf der genauen Summe des Lösegelds. Für Lösegeldzahlungen von bis zu 1,5 Millionen US-Dollar behalten sie 20 % der Mittel, während sie für Zahlungen zwischen 1,5 und 3 Millionen US-Dollar eine Kürzung von 15 % erhalten. Wenn es den Partnern gelingt, ein Lösegeld von mehr als 3 Millionen US-Dollar zu erhalten, dürfen sie 90 % des Geldes behalten.
Die Angriffskampagne soll seit mindestens November 2021 aktiv sein. Bisher wurden Opfer der ALPHV-Ransomware in den USA, Australien und Indien identifiziert.
Technische Details
Die ALPHV Ransomware wird mit der Programmiersprache Rust geschrieben. Rust ist unter Malware-Entwicklern keine gängige Wahl, gewinnt jedoch aufgrund seiner Eigenschaften an Bedeutung. Die Bedrohung bietet einen robusten Satz aufdringlicher Funktionen. Es ist in der Lage, 4 verschiedene Verschlüsselungsroutinen basierend auf den Präferenzen der Angreifer durchzuführen. Es verwendet auch 2 verschiedene kryptografische Algorithmen - CHACHA20 und AES. Die Ransomware sucht nach virtuellen Umgebungen und versucht, sie zu töten. Außerdem werden alle ESXi-Snapshots automatisch gelöscht, um eine Wiederherstellung zu verhindern.
Um so viel Schaden wie möglich anzurichten, kann ALPHV die Prozesse aktiver Anwendungen beenden, die die Verschlüsselung stören könnten, beispielsweise indem eine gezielte Datei geöffnet bleibt. Die Bedrohung kann die Prozesse von Veeam, Backup-Softwareprodukten, Microsoft Exchange, MS Office, Mail-Clients, dem beliebten Videospielshop Steam, Datenbankservern usw. beenden. Darüber hinaus löscht die ALPHV Ransomware die Schattenkopien der Dateien des Opfers, reinigt den Papierkorb im System, sucht nach anderen Netzwerkgeräten und versucht, eine Verbindung zu einem Microsoft-Cluster herzustellen.
Wenn es mit den entsprechenden Domänenanmeldeinformationen konfiguriert ist, kann sich ALPHV sogar auf andere Geräte ausbreiten, die mit dem beschädigten Netzwerk verbunden sind. Die Bedrohung extrahiert PSExec in den Ordner %Temp% und kopiert dann die Nutzlast auf die anderen Geräte. Dabei können die Angreifer über eine konsolenbasierte Benutzeroberfläche den Fortschritt der Infektion überwachen.
Lösegeldforderung und Forderungen
Partner können die Bedrohung nach ihren Vorlieben ändern. Sie können die verwendete Dateierweiterung, Lösegeldforderung, die Art und Weise, wie die Daten des Opfers verschlüsselt werden, welche Ordner oder Dateierweiterungen ausgeschlossen werden, und mehr anpassen. Die Lösegeldforderung selbst wird als Textdatei mit einem Namen nach diesem Muster geliefert - 'RECOVER-[Erweiterung]-FILES.txt'. Die Lösegeldforderungen werden auf jedes Opfer zugeschnitten. Bisher wurden die Opfer angewiesen, die Hacker entweder mit den Kryptowährungen Bitcoin oder Monero zu bezahlen. Für Bitcoin-Zahlungen erheben die Hacker jedoch eine Gebühr von 15%.
Einige Lösegeldforderungen enthalten auch Links zu einer dedizierten TOR-Leak-Site und einer weiteren eigenen für den Kontakt mit den Angreifern. Tatsächlich verwendet ALPHV mehrere Erpressungstaktiken, um seine Opfer dazu zu bringen, mit den Cyberkriminellen zu bezahlen, die wichtige Dateien von den infizierten Geräten sammeln, bevor sie die dort gespeicherten Daten verschlüsseln. Werden ihre Forderungen nicht erfüllt, drohen die Hacker mit der Veröffentlichung der Informationen. Opfer werden auch gewarnt, dass sie bei Zahlungsverweigerung DDoS-Angriffen ausgesetzt sein werden.
Um die Verhandlungen mit den Opfern privat zu halten und Cybersicherheitsexperten daran zu hindern, herumzuschnüffeln, haben die ALPHV-Betreiber das Befehlszeilenargument --access-token=[access_token] implementiert. Das Token wird bei der Erstellung eines Zugangsschlüssels verwendet, der für den Zugriff auf die Verhandlungs-Chat-Funktion auf der TOR-Website des Hackers erforderlich ist.
Die ALPHV Ransomware ist eine äußerst schädliche Bedrohung mit hochentwickelten Funktionen und der Fähigkeit, mehrere Betriebssysteme zu infizieren. Es kann auf allen Windows 7-Systemen und höher, ESXI, Debian, Ubuntu, ReadyNAS und Synology ausgeführt werden.
