عملية جديدة لبرامج الفدية تسمى RedAlert ، أو N13V ، تقوم بتشفير خوادم Windows و Linux VMWare ESXi في الهجمات على شبكات الشركات.
تم اكتشاف العملية الجديدة اليوم بواسطة MalwareHunterTeam ، من قام بالتغريد صور مختلفة لموقع تسريب بيانات العصابة.
تم استدعاء برنامج الفدية “RedAlert” استنادًا إلى سلسلة مستخدمة في مذكرة الفدية. ومع ذلك ، من خلال مشفر Linux حصل عليه BleepingComputer ، يطلق المهاجمون على عمليتهم “N13V” داخليًا ، كما هو موضح أدناه.
المصدر: BleepingComputer
تم إنشاء مشفر Linux لاستهداف خوادم VMware ESXi ، مع خيارات سطر الأوامر التي تسمح لممثلي التهديد بإغلاق أي أجهزة افتراضية قيد التشغيل قبل تشفير الملفات.
يمكن الاطلاع على القائمة الكاملة لخيارات سطر الأوامر أدناه.
-w Run command for stop all running VM`s
-p Path to encrypt (by default encrypt only files in directory, not include subdirectories)
-f File for encrypt
-r Recursive. used only with -p ( search and encryption will include subdirectories )
-t Check encryption time(only encryption, without key-gen, memory allocates ...)
-n Search without file encryption.(show ffiles and folders with some info)
-x Asymmetric cryptography performance tests. DEBUG TESTS
-h Show this messageعند تشغيل برنامج الفدية باستخدام “-w‘، سيغلق مشفر Linux جميع الأجهزة الافتراضية VMware ESXi قيد التشغيل باستخدام الأمر esxcli التالي:
esxcli --formatter=csv --format-param=fields=="WorldID,DisplayName" vm process list | tail -n +2 | awk -F $',' '{system("esxcli vm process kill --type=force --world-id=" $1)}'
عند تشفير الملفات ، تستخدم برامج الفدية خوارزمية NTRUEncrypt لتشفير المفتاح العام ، والتي تدعم “مجموعات المعلمات” المختلفة التي توفر مستويات مختلفة من الأمان.
ميزة مثيرة للاهتمام في RedAlert / N13V هي خيار سطر الأوامر “-x” الذي يقوم بإجراء “اختبار أداء التشفير غير المتماثل” باستخدام مجموعات معلمات NTRUEncrypt المختلفة. ومع ذلك ، ليس من الواضح ما إذا كانت هناك طريقة لفرض مجموعة معلمات معينة عند التشفير و / أو ما إذا كان برنامج الفدية سيختار واحدًا أكثر كفاءة.
عملية رانسومواري الأخرى المعروفة باستخدام خوارزمية التشفير هذه هي FiveHands.
المصدر: BleepingComputer
عند تشفير الملفات ، ستستهدف برامج الفدية الملفات المرتبطة بالأجهزة الافتراضية لـ VMware ESXi فقط ، بما في ذلك ملفات السجل وملفات التبادل والأقراص الافتراضية وملفات الذاكرة ، كما هو موضح أدناه.
.log
.vmdk
.vmem
.vswp
.vmsnفي العينة التي تم تحليلها بواسطة BleepingComputer ، يقوم برنامج الفدية بتشفير أنواع الملفات هذه وإلحاق .crypt658 امتداد لأسماء ملفات الملفات المشفرة.
المصدر: BleepingComputer
في كل مجلد ، سيقوم برنامج الفدية أيضًا بإنشاء ملاحظة فدية مخصصة باسم HOW_TO_RESTORE، والذي يحتوي على وصف للبيانات المسروقة ورابط إلى موقع فريد لدفع فدية TOR للضحية.
المصدر: BleepingComputer
موقع الدفع Tor مشابه لمواقع تشغيل برامج الفدية الأخرى لأنه يعرض طلب الفدية ويوفر طريقة للتفاوض مع الجهات المهددة.
ومع ذلك ، لا يقبل RedAlert / N13V سوى عملة Monero cryptocurrency للدفع ، والتي لا تُباع عادةً في بورصات العملات المشفرة بالولايات المتحدة الأمريكية لأنها عملة خاصة بالخصوصية.
المصدر: BleepingComputer
بينما تم العثور على مشفر Linux فقط ، فإن موقع الدفع يحتوي على عناصر مخفية توضح وجود أدوات فك تشفير Windows أيضًا.
“مجلس العار”
مثل جميع عمليات برامج الفدية التي تستهدف المؤسسات تقريبًا ، ينفذ RedAlert هجمات مزدوجة الابتزاز ، والتي تحدث عند سرقة البيانات ، ثم يتم نشر برامج الفدية لتشفير الأجهزة.
يوفر هذا التكتيك طريقتين للابتزاز ، مما يسمح للجهات الفاعلة في التهديد ليس فقط بطلب فدية لتلقي فك التشفير ولكن أيضًا مطالبة واحدة لمنع تسرب البيانات المسروقة.
عندما لا يدفع الضحية طلب فدية ، تنشر عصابة RedAlert البيانات المسروقة على موقع تسريب البيانات الخاصة بهم والتي يمكن لأي شخص تنزيلها.
المصدر: BleepingComputer
في الوقت الحالي ، يحتوي موقع تسرب البيانات RedAlert على بيانات مؤسسة واحدة فقط ، مما يشير إلى أن العملية جديدة جدًا.
على الرغم من عدم وجود نشاط كبير مع عملية N13V / RedAlert ransomware الجديدة ، إلا أننا سنحتاج بالتأكيد إلى مراقبتها نظرًا لوظائفها المتقدمة ودعمها الفوري لكل من Linux و Windows.
#يستهدف #برنامج #RedAlert #Ransomware #الجديد #خوادم #Windows #Linux #VMware #ESXi
