Des chercheurs ont découvert le ransomware ALPHV écrit en Rust

Les analystes de Avenir enregistré et MalwareHunterTeam ont découvert un ALPHV (alias BlackCat) ransomware avec fichier exécutable est écrit en rouille, ce qui est atypique pour les logiciels malveillants, mais cette approche gagne progressivement en popularité parmi les cybercriminels en raison de ses hautes performances et de la sécurité de sa mémoire.

Les développeurs de logiciels malveillants eux-mêmes l'appellent ALPHV et promouvoir activement leurs logiciels malveillants sur les forums de piratage en russe. toutefois, du fait que les cybercriminels’ le site Web utilise une icône représentant un chat noir, les chercheurs ont surnommé le malware Chat noir.

Techniquement, ce ransomware est déjà le troisième ransomware écrit en Rust: Malware PoC de ce type a été publié sur GitHub dans 2020, et le déjà inopérant Équipe BadBee un ransomware a été repéré la même année.

toutefois, les chercheurs écrivent que dans leur contexte, ALPHV (Chat noir) ressemble au premier professionnel RaaS malware visant le piratage d'entreprise et le cryptage des appareils. Par exemple, récemment un spécialiste bien connu de la cybersécurité et Emsisoft analyste Michel Gillespie, décrit BlackCat comme un “très complexe” ransomware.

J'ai analysé un autre échantillon il n'y a pas si longtemps, mais ne pouvait pas en parler en raison de la confidentialité du client… utilise AES128-CTR et RSA-2048, est sécurisé. Marqueur de fichier 19 47 B7 4D à EOF et avant la clé cryptée, qui est JSON avec quelques paramètres. Ransomware très sophistiqué.Michael Gillespie a écrit.

Selon Avenir enregistré experts, le créateur de l'ALPHV (Chat noir) était auparavant membre du célèbre groupe de hackers le mal. Depuis début décembre, cet homme (connu sous le nom d'ALPHV) a fait la promotion du RaaS sur des forums clandestins (XSS et exploit), inviter d'autres criminels à se joindre aux attaques de ransomware contre les grandes entreprises. L'attaquant prétend que le malware peut crypter les données sur les systèmes exécutant Windows, Linux et VMware ESXi, et les partenaires recevront de 80% à 90% de la rançon finale, selon le montant total reçu des victimes.

Jusque là, les experts ne savent pas exactement comment le malware pénètre dans les systèmes de la victime, mais comme la plupart des autres groupes de ransomware, l'ALPHV (Chat noir) les opérateurs se livrent à une double extorsion. C'est-à-dire, avant de crypter les fichiers, les pirates recherchent des données confidentielles sur le réseau de la victime, vole-le, puis demander une rançon, sinon ils menacent de publier les données volées dans le domaine public (ou le vendre aux parties intéressées).

Actuellement, le groupe semble gérer plusieurs “sites de fuite” immediatement, dont chacun stocke les données d'une ou deux victimes. Une capture d'écran de l'un de ces sites peut être vue ci-dessous. Il semble que ces sites soient desservis par les partenaires de l'équipe eux-mêmes, ce qui explique les différentes urls.

Capture d'écran du site de fuite

Ordinateur qui bipe rapporte que depuis novembre 2021, de nombreuses entreprises aux USA, L'Australie et l'Inde sont devenues victimes de ce ransomware. Les journalistes’ Selon nos propres sources, le montant de la rançon varie de $ 400,000 à $ 3,000,000 (en Bitcoin ou Monero). Si les victimes paient avec Bitcoin, un montant supplémentaire de 15% la commission s'ajoute à la rançon.

introduction

Permettez-moi de vous rappeler que nous avons également signalé que rançongiciel de deuil menace de détruire les victimes’ données s'ils se tournent vers les négociateurs.

Helga Smith

J'ai toujours été intéressé par l'informatique, en particulier la sécurité des données et le thème, qui s'appelle de nos jours "science des données", depuis mon adolescence. Avant de rejoindre l'équipe de suppression de virus en tant que rédacteur en chef, J'ai travaillé comme expert en cybersécurité dans plusieurs entreprises, dont l'un des sous-traitants d'Amazon. Une autre expérience: J'ai enseigné dans les universités d'Arden et de Reading.

Laisser un commentaire

Ce site utilise Akismet pour réduire le spam. Découvrez comment vos données de commentaire est traité.

Bouton retour en haut de la page