Os pesquisadores descobriram o ransomware ALPHV escrito em Rust

Analistas de Futuro registrado e MalwareHunterTeam descobriram um ALPHV (também conhecido como BlackCat) ransomware com arquivo executável é escrito em Rust, o que é atípico para malware, mas esta abordagem está gradualmente ganhando popularidade entre os cibercriminosos devido ao seu alto desempenho e segurança de memória.

Os próprios desenvolvedores de malware chamam isso ALPHV e promover ativamente seu malware em fóruns de hack em russo. Contudo, devido ao fato de que os cibercriminosos’ o site usa um ícone representando um gato preto, os pesquisadores apelidaram o malware Gato preto.

Tecnicamente, este ransomware já é o terceiro ransomware escrito em Rust: Malware PoC deste tipo foi publicado sobre GitHub no 2020, e o já inoperante BadBeeTeam ransomware foi detectado no mesmo ano.

Contudo, os pesquisadores escrevem isso contra seus antecedentes, ALPHV (Gato preto) parece o primeiro profissional RaaS malware voltado para hackers corporativos e criptografia de dispositivos. Por exemplo, recentemente, um conhecido especialista em segurança cibernética e Emsisoft analista Michael Gillespie, descreveu BlackCat como um “muito complexo” ransomware.

De acordo com Futuro registrado experts, o criador do ALPHV (Gato preto) anteriormente era membro do conhecido grupo de hackers REvil. Desde o início de dezembro, este homem (conhecido como ALPHV) tem promovido RaaS em fóruns clandestinos (XSS e Exploit), convidando outros criminosos para se juntarem a ataques de ransomware contra grandes empresas. O invasor afirma que o malware pode criptografar dados em sistemas que executam o Windows, Linux e VMware ESXi, e os parceiros receberão de 80% para 90% do resgate final, dependendo do valor total recebido das vítimas.

Até aqui, especialistas não sabem exatamente como o malware penetra nos sistemas da vítima, mas como a maioria dos outros grupos de ransomware, o ALPHV (Gato preto) operadores estão envolvidos em extorsão dupla. Isso é, antes de criptografar arquivos, hackers procuram dados confidenciais na rede da vítima, roubá-lo, e então exigir um resgate, caso contrário, eles ameaçam publicar os dados roubados em domínio público (ou vendê-lo para partes interessadas).

Atualmente, o grupo parece estar gerenciando vários “locais de vazamento” de uma vez só, cada um dos quais armazena os dados de uma ou duas vítimas. Uma captura de tela de um desses sites pode ser vista abaixo. Parece que esses sites estão sendo atendidos pelos próprios parceiros da equipe, o que explica os diferentes urls.

Biping Computer relata que desde novembro 2021, muitas empresas nos EUA, Austrália e Índia se tornaram vítimas deste ransomware. Os jornalistas’ próprias fontes dizem que o tamanho do resgate varia de $ 400,000 para $ 3,000,000 (em Bitcoin ou Monero). Se as vítimas pagarem com Bitcoin, um adicional 15% comissão é adicionada ao resgate.

Deixe-me lembrá-lo de que também informamos que Ransomware de luto ameaça destruir as vítimas’ dados se eles recorrerem a negociadores.