RedAlert (N13V) Ransomware
Die RedAlert (N13V) Ransomware ist eine plattformübergreifende Malware, die auf die Daten ihrer Opfer abzielt. Die Windows-Version der Malware wird als RedALert verfolgt, während N13V speziell dafür entwickelt wurde, auf Linux VMware ESXi-Servern aktiv zu sein. Wie die meisten Ransomware-Angriffe sperrt die Bedrohung die auf den angegriffenen Systemen gefundenen Daten mithilfe eines nicht zu knackenden kryptografischen Algorithmus. Jede verarbeitete Datei erhält eine neue Erweiterung, bestehend aus „.crypt“, gefolgt von einer bestimmten Nummer, die an den ursprünglichen Namen angehängt wird. Wenn alle Zieldateitypen verschlüsselt wurden, erstellt die RedAlert (N13V) Ransomware eine neue Textdatei auf dem infizierten Gerät.
Die Datei mit dem Namen „HOW_TO_RESTORE.txt“ soll eine Lösegeldforderung mit Anweisungen der Angreifer übermitteln. Die Meldung von RedAlert (N13V) Ransomware zeigt deutlich, dass ihre Betreiber hauptsächlich auf Unternehmen abzielen. Es zeigt auch, dass die Angreifer ein doppeltes Erpressungsschema betreiben. Anscheinend sammeln die Angreifer nicht nur die Dateien des Opfers, sondern auch verschiedene vertrauliche Daten wie Verträge, Finanzdokumente, Kontoauszüge, Mitarbeiter- und Kundendaten usw. Alle gesammelten Informationen werden auf einen Remote-Server exfiltriert, wobei die Hacker mit der Freigabe drohen es an die Öffentlichkeit, wenn sie nicht innerhalb von 72 Stunden von den Opfern kontaktiert werden.
Die Bedrohung leitet die Opfer dazu, die spezielle Website des Hackers zu besuchen, die im Tor-Netzwerk gehostet wird. Die Seite wird es den Opfern angeblich ermöglichen, ein paar verschlüsselte Dateien kostenlos zu entsperren, das geforderte Lösegeld zu zahlen und ein spezielles Entschlüsselungstool zu erhalten. Natürlich ist die Kommunikation mit Cyberkriminellen von Natur aus riskant und könnte das Opfer zusätzlichen Datenschutz- oder Sicherheitsproblemen aussetzen.
Der gesamte Satz von Anweisungen, die über die Textdatei geliefert werden, lautet:
'Hallo,
Ihr Netzwerk wurde eingedrungen
Wir haben Ihre Dateien verschlüsselt und große Mengen sensibler Daten gestohlen, darunter:NDA-Verträge und Daten
Finanzdokumente, Gehaltsabrechnungen, Kontoauszüge
Mitarbeiterdaten, persönliche Dokumente, SSN, DL, CC
Kundendaten, Verträge, Kaufverträge etc.
Anmeldeinformationen für lokale und Remote-Geräte
Und mehr…
Die Verschlüsselung ist ein umkehrbarer Prozess, Ihre Daten können mit unserer Hilfe leicht wiederhergestellt werden
Wir bieten Ihnen an, spezielle Entschlüsselungssoftware zu kaufen, die Zahlung beinhaltet Entschlüsseler, Schlüssel dafür und Löschung gestohlener Daten
Wenn Sie die Ernsthaftigkeit dieser Behauptung verstehen und bereit sind, mit uns zusammenzuarbeiten, befolgen Sie die nächsten Schritte:
1) Laden Sie den TOR-Browser von hxxps://torproject.org herunter
2) Installieren und starten Sie den TOR-Browser
3) Besuchen Sie unsere Webseite: hxxx://gwvueqclwkz3h7u75cks2wmrwymg3qemfyoyqs7vexkx7lhlteagmsyd.onion
Auf unserer Webseite können Sie den Entschlüsseler kaufen, mit unserem Support chatten und einige Dateien kostenlos entschlüsseln
Wenn Sie uns nicht innerhalb von 72 Stunden kontaktieren, werden wir beginnen, gestohlene Daten Stück für Stück in unserem Blog, auf der DDoS-Site Ihres Unternehmens, zu veröffentlichen und Mitarbeiter Ihres Unternehmens anzurufen
Wir haben die Finanzdokumentation Ihres Unternehmens analysiert, damit wir Ihnen den angemessenen Preis anbieten können
Um Datenverlust und Erhöhung der Zusatzkosten zu vermeiden:
1) Ändern Sie den Inhalt der verschlüsselten Dateien nicht
2) Informieren Sie die örtlichen Behörden nicht über diesen Vorfall, bevor unser Geschäft abgeschlossen ist
3) Beauftragen Sie keine Bergungsfirmen, um mit uns zu verhandeln
Wir garantieren, dass unser Dialog privat bleibt und Dritte niemals von unserem Geschäft erfahrenREDALERT EINDEUTIGE IDENTIFIZIERUNG START'
