ALPHV Ransomware
L'ALPHV Ransomware semble être l'une des menaces les plus sophistiquées de ce type, tout comme l'opération menaçante responsable de sa diffusion. Cette menace particulière de ransomware a été découverte par les chercheurs d'infosec, qui la suivent également sous le nom de BlackCat. La menace est hautement personnalisable, permettant même aux cybercriminels moins avertis en technologie d'ajuster ses fonctionnalités et de lancer des attaques contre un grand nombre de plates-formes.
Table des matières
Fonctionnement de l’ALPHV
L'ALPHV Ransomware est promu par ses créateurs sur les forums de hackers russophones. La menace semble être offerte dans un schéma RaaS (Ransomware-as-a-Service) avec les opérateurs du malware cherchant à recruter des affiliés consentants qui effectueront les attaques réelles et les violations de réseau. Par la suite, l'argent reçu des victimes à titre de paiement de rançon sera réparti entre les parties concernées.
Le pourcentage prélevé par les créateurs d'ALPHV est basé sur la somme exacte de la rançon. Pour les paiements de rançon atteignant jusqu'à 1,5 million de dollars, ils conserveront 20 % des fonds, tandis que pour les paiements compris entre 1,5 et 3 millions de dollars, ils obtiendront une réduction de 15 %. Si les affiliés parviennent à recevoir une rançon de plus de 3 millions de dollars, ils seront autorisés à conserver 90 % de l'argent.
On pense que la campagne d'attaque est active depuis au moins novembre 2021. Jusqu'à présent, des victimes d'ALPHV Ransomware ont été identifiées aux États-Unis, en Australie et en Inde.
Détails techniques
Le ALPHV Ransomware est écrit en utilisant le langage de programmation Rust. Rust n'est pas un choix courant parmi les développeurs de logiciels malveillants, mais gagne du terrain en raison de ses caractéristiques. La menace présente un ensemble robuste de fonctionnalités intrusives. Il est capable d'effectuer 4 routines de cryptage différentes en fonction des préférences des attaquants. Il utilise également 2 algorithmes cryptographiques différents - CHACHA20 et AES. Le ransomware recherchera les environnements virtuels et tentera de les tuer. Il effacera également automatiquement tous les instantanés ESXi pour empêcher la récupération.
Pour infliger le plus de dégâts possible, ALPHV peut tuer les processus des applications actives qui pourraient interférer avec son cryptage, par exemple en gardant un fichier ciblé ouvert. La menace peut mettre fin aux processus de Veeam, des produits logiciels de sauvegarde, de Microsoft Exchange, de MS Office, des clients de messagerie, du célèbre magasin de jeux vidéo Steam, des serveurs de base de données, etc. De plus, ALPHV Ransomware supprimera les clichés instantanés des fichiers de la victime, nettoyez la corbeille du système, recherchez d'autres périphériques réseau et essayez de vous connecter à un cluster Microsoft.
S'il est configuré avec les informations d'identification de domaine appropriées, ALPHV peut même se propager à d'autres appareils connectés au réseau violé. La menace extraira PSExec dans le dossier %Temp%, puis procédera à la copie de la charge utile sur les autres appareils. Pendant ce temps, les attaquants peuvent surveiller la progression de l'infection via une interface utilisateur basée sur la console.
La note de rançon et les demandes
Les affiliés peuvent modifier la menace en fonction de leurs préférences. Ils peuvent personnaliser l'extension de fichier utilisée, la note de rançon, la manière dont les données de la victime seront cryptées, les dossiers ou les extensions de fichier qui seront exclus, etc. La demande de rançon elle-même sera livrée sous forme de fichier texte avec un nom suivant ce modèle - 'RECOVER-[extension]-FILES.txt.' Les notes de rançon seront adaptées à chaque victime. Jusqu'à présent, les victimes ont été informées qu'elles pouvaient payer les pirates en utilisant les crypto-monnaies Bitcoin ou Monero.Cependant, pour les paiements Bitcoin, les pirates ajouteront une taxe de 15%.
Certaines notes de rançon incluent également des liens vers un site dédié aux fuites TOR et un autre site propre pour le contact avec les attaquants. En effet, ALPHV utilise de multiples tactiques d'extorsion pour faire payer ses victimes avec les cybercriminels qui collectent les fichiers importants des appareils infectés avant de crypter les données qui y sont stockées. Si leurs demandes ne sont pas satisfaites, les pirates informatiques menacent de publier les informations au public. Les victimes sont également averties qu'elles seront soumises à des attaques DDoS en cas de refus de payer.
Pour garder les négociations avec les victimes privées et empêcher les experts en cybersécurité d'espionner, les opérateurs ALPHV ont implémenté un argument de ligne de commande --access-token=[access_token]. Le jeton est utilisé dans la création d'une clé d'accès nécessaire pour entrer dans la fonction de discussion de négociation sur le site Web TOR du pirate.
L'ALPHV Ransomware est une menace extrêmement dangereuse avec des fonctionnalités très sophistiquées et la capacité d'infecter plusieurs systèmes d'exploitation. Il peut être exécuté sur tous les systèmes Windows 7 et supérieur, ESXI, Debian, Ubuntu, ReadyNAS et Synology.
