Rançongiciel RedAlert (N13V)
Le RedAlert (N13V) Ransomware est un malware multiplateforme qui cible les données de ses victimes. La version Windows du logiciel malveillant est suivie en tant que RedALert tandis que N13V est spécifiquement conçu pour être actif sur les serveurs Linux VMware ESXi. Comme la plupart des attaques de rançongiciels, la menace verrouille les données trouvées sur les systèmes piratés en utilisant un algorithme cryptographique indéchiffrable. Chaque fichier traité aura une nouvelle extension, composée de '.crypt' suivi d'un certain nombre ajouté à son nom d'origine. Lorsque tous les types de fichiers ciblés ont été chiffrés, le ransomware RedAlert (N13V) créera un nouveau fichier texte sur l'appareil infecté.
Nommé « HOW_TO_RESTORE.txt », le but du fichier est de fournir une note de rançon avec les instructions des attaquants. Le message de RedAlert (N13V) Ransomware indique clairement que ses opérateurs ciblent principalement les personnes morales. Il révèle également que les attaquants exécutent un stratagème de double extorsion. Apparemment, en plus de verrouiller les fichiers de la victime, les acteurs de la menace collectent également diverses données confidentielles, telles que des contrats, des documents financiers, des relevés bancaires, des données d'employés et de clients, etc. Toutes les informations collectées sont exfiltrées sur un serveur distant, les pirates menaçant de divulguer au public si elles ne sont pas contactées par les victimes dans les 72 heures.
La menace incite les victimes à visiter le site Web dédié du pirate hébergé sur le réseau Tor. Le site permettra aux victimes d'envoyer gratuitement quelques fichiers cryptés à déverrouiller, de payer la rançon demandée et de recevoir un outil de décryptage spécialisé. Bien sûr, la communication avec les cybercriminels est intrinsèquement risquée et pourrait exposer la victime à des problèmes de confidentialité ou de sécurité supplémentaires.
L'ensemble des instructions fournies via le fichier texte est :
'Bonjour,
Votre réseau a été piraté
Nous avons crypté vos fichiers et volé une grande quantité de données sensibles, notamment :Contrats et données NDA
Documents financiers, paies, relevés bancaires
Données des employés, documents personnels, SSN, DL, CC
Données clients, contrats, contrats d'achat, etc.
Informations d'identification sur les appareils locaux et distants
Et plus…
Le cryptage est un processus réversible, vos données peuvent être facilement récupérées avec notre aide
Nous vous proposons d'acheter un logiciel de décryptage spécial, le paiement comprend un décrypteur, une clé pour celui-ci et l'effacement des données volées
Si vous comprenez tout le sérieux de cette sutation et êtes prêt à coopérer avec nous, suivez les étapes suivantes :
1) Téléchargez le navigateur TOR depuis hxxps://torproject.org
2) Installez et lancez le navigateur TOR
3) Visitez notre page Web : hxxx://gwvueqclwkz3h7u75cks2wmrwymg3qemfyoyqs7vexkx7lhlteagmsyd.onion
Sur notre page Web, vous pourrez acheter un décrypteur, discuter avec notre support et décrypter quelques fichiers gratuitement
Si vous ne nous contactez pas dans les 72h, nous commencerons à publier des données volées sur notre blog partie par partie, le site DDoS de votre entreprise et à appeler les employés de votre entreprise
Nous avons analysé la documentation financière de votre entreprise afin de vous proposer le prix approprié
Pour éviter la perte de données et l'augmentation des surcoûts :
1) Ne modifiez pas le contenu des fichiers cryptés
2) N'informez pas les autorités locales de cet incident avant la fin de notre accord
3) N'engagez pas d'entreprises de récupération pour négocier avec nous
Nous garantissons que notre dialogue restera privé et que les tiers ne seront jamais au courant de notre accordREDALERT UNIQUE IDENTIFIER START'
