0
0
Criptografador Linux permite que os cibercriminosos desliguem qualquer máquina virtual em execução antes de criptografar os arquivos
Uma nova operação de ransomware chamada RedAlert, ou N13V, criptografa servidores Windows e Linux VMWare ESXi em ataques a redes corporativas. A operação foi descoberta pelo MalwareHunterTeam, que tuitou várias imagens do site de vazamento de dados da gangue.
O ransomware foi chamado de RedAlert com base em uma string usada na nota de resgate. No entanto, a partir de um criptografador Linux obtido pelo BleepingComputer, os operadores da ameaça chamam o malware de N13V “internamente”.
O criptografador Linux foi criado para direcionar servidores VMware ESXi, com opções de linha de comando que permitem que os cibercriminosos desliguem qualquer máquina virtual em execução antes de criptografar os arquivos. Ao executar o ransomware com o argumento “-w”, o criptografador do Linux desligará todas as máquinas virtuais VMware ESXi em execução usando o comando a seguir:
esxcli –formatter=csv –format-param=fields==”WorldID,DisplayName” lista de processos vm | cauda -n +2 | awk -F $’,’ ‘{system(“esxcli vm process kill –type=force –world-id=” $1)}’
Ao criptografar arquivos, o ransomware utiliza o algoritmo de criptografia de chave pública NTRUEncrypt, que suporta vários conjuntos de parâmetros que oferecem diferentes níveis de segurança. O ransomware terá como alvo apenas os arquivos associados às máquinas virtuais VMware ESXi, incluindo arquivos de log, arquivos de troca, discos virtuais e arquivos de memória.
Um recurso “interessante” do RedAlert é a opção de linha de comando “-x” que executa teste de desempenho de criptografia assimétrica usando esses diferentes conjuntos de parâmetros NTRUEncrypt. No entanto, não está claro se existe uma maneira de forçar um determinado parâmetro definido ao criptografar ou se o ransomware selecionará um mais eficiente.
O site de pagamento Tor é semelhante a outros sites de operação de ransomware, pois exibe a demanda de resgate e fornece uma maneira de negociar com os agentes da ameaça. No entanto, o RedAlert aceita apenas a criptomoeda Monero para pagamento, que não é comumente vendida nas exchanges de criptomoedas dos EUA porque é uma moeda de privacidade.
Como quase todas as novas operações de ransomware voltadas para empresas, o RedAlert realiza ataques de dupla extorsão, que é quando os dados são roubados e, em seguida, o ransomware é implantado para criptografar os dispositivos. Essa tática fornece dois métodos de extorsão, permitindo que os agentes de ameaças não apenas exijam resgate para receber um decodificador, mas também exijam um para evitar o vazamento de dados roubados. Quando uma vítima não paga um pedido de resgate, a gangue RedAlert publica dados roubados em seu site de vazamento de dados que qualquer um pode baixar.
Atualmente, o site de vazamento de dados RedAlert contém apenas os dados de uma organização, indicando que a operação é muito nova. Embora não tenha havido muita atividade com o RedAlert, é uma operação de ransomware que é preciso ter atenção devido à sua funcionalidade avançada e suporte imediato para Linux e Windows.
FONTE: CISO ADVISOR