Ερευνητές ασφαλείας που αναλύουν το ωφέλιμο φορτίο ransomware Alpha και τον τρόπο λειτουργίας ανακάλυψαν αλληλε
πικα
λύψεις με την πλέον ανενεργή λειτουργία ransomware Netwalker.
Το Netwalker ήταν ένα παραγωγικό ransomware-as-a-service (RaaS) που δραστηριοποιήθηκε μεταξύ Οκτωβρίου 2019 και Ιανουαρίου 2021, όταν οι αρχές επιβολής του νόμου κατέλαβαν τους σκοτεινούς ιστοτόπους του, με αποτέλεσμα οι χειριστές του να σιωπήσουν.
Η λειτουργία Alpha ransomware (δεν πρέπει να συγχέεται με το
ALPHV
/BlackCat) εμφανίστηκε τον Φεβρουάριο του 2023, αλλά κράτησε χαμηλό προφίλ, δεν προωθήθηκε σε φόρουμ χάκερ, ούτε οι χειριστές του πραγματοποίησαν πολλές επιθέσεις.
Αυτό άλλαξε πρόσφατα όταν η ομάδα ξεκίνησε έναν ιστότοπο διαρροής δεδομένων για τη λίστα των θυμάτων και τη δημοσίευση αρχείων που είχαν κλαπεί από παραβιασμένα δίκτυα.
Την ώρα που γράφονται αυτές οι γραμμές, ο Alpha εμφανίζει εννέα θύματα στην πύλη του εκβιασμού και για οκτώ από αυτά ο ηθοποιός απειλών έχει ήδη δημοσιεύσει τα κλεμμένα αρχεία.
Το site εκβιασμών του Alpha
(BleepingCompouter)
ΕΝΑ
Έκθεση Neterich
από τις 29 Ιανουαρίου λέει ότι ο Alpha σταδιακά έγινε πιο σοφιστικέ.
Στην πιο πρόσφατη έκδοση, το ransomware προσθέτει μια τυχαία αλφαριθμητική επέκταση 8 χαρακτήρων σε κρυπτογραφημένα αρχεία.
Επίσης, μετά από πολλές επαναλήψεις σημειώσεων λύτρων, η τελευταία περιλαμβάνει οδηγίες για τα θύματα να επικοινωνήσουν με τον παράγοντα απειλών μέσω μιας υπηρεσίας ανταλλαγής
μηνυμάτων
.
Η αναφερόμενη ζήτηση λύτρων, σύμφωνα με τη Neterich, κυμαίνεται μεταξύ 0,272 BTC (13.200 $ με τη σημερινή συναλλαγματική ισοτιμία) και έως και 100.000 $, πιθανότατα ανάλογα με το μέγεθος της επιχείρησης του θύματος.
Σύνδεσμοι στο Netwalker
Μια νέα έκθεση που δημοσιεύθηκε σήμερα από
Οι αναλυτές απειλών της Symantec
συνδέει την Alpha με το ανενεργό ransomware Netwalker, με βάση εργαλεία και τακτικές, τεχνικές και διαδικασίες που χρησιμοποιούνται σε επιθέσεις.
Οι βασικές ομοιότητες που επισημαίνει η Symantec περιλαμβάνουν τα ακόλουθα:
-
Τόσο το Netwalker όσο και το Alpha ransomware χρησιμοποιούν έναν παρόμοιο φορτωτή που βασίζεται σε
PowerShell
για την παράδοση των ωφέλιμων φορτίων τους. - Σημαντικές επικαλύψεις κώδικα στο ωφέλιμο φορτίο, συμπεριλαμβανομένης της γενικής ροής εκτέλεσης των κύριων λειτουργιών, του τερματισμού των διαδικασιών και των υπηρεσιών και των ομοιοτήτων στην επίκληση των API του συστήματος.
Χρήση προσαρμοσμένων πινάκων διευθύνσεων εισαγωγής (Netwalker αριστερά, Alpha δεξιά)
(Symantec)
-
Ομοιότητες διαμόρφωσης στη λίστα φακέλων, αρχείων και επεκτάσεων που πρέπει να παραβλεφθούν, καθώς και στις διεργασίες και τις
υπηρεσίες
που πρέπει να σβήσουν. - Και οι δύο διαγράφονται χρησιμοποιώντας ένα προσωρινό αρχείο δέσμης μετά την ολοκλήρωση της διαδικασίας κρυπτογράφησης.
- Οι πύλες πληρωμών τόσο για το Netwalker όσο και για το Alpha περιέχουν το ίδιο μήνυμα: “Για εισαγωγή, χρησιμοποιήστε κωδικό χρήστη.”
Σύγκριση πυλών (NetWalker αριστερά, Alpha δεξιά)
(Symantec)
Η Symantec αναφέρει επίσης ότι οι πρόσφατες επιθέσεις Alpha χρησιμοποιούν εκτενώς εργαλεία που ζουν εκτός της γης, συμπεριλαμβανομένων των Taskkill, PsExec, Net.exe και Reg.exe, για φοροδιαφυγή. Ωστόσο, αυτό είναι κοινό σε πολλές συμμορίες ransomware.
Οι παραπάνω ομοιότητες υποδεικνύουν έναν ισχυρό δεσμό μεταξύ του NetWalker και των προγραμματιστών της Alpha, κάτι που θα μπορούσε είτε να σημαίνει αναβίωση του NetWalker με την επωνυμία Alpha είτε ότι ο κώδικάς του επαναχρησιμοποιείται από μια νέα ομάδα απειλών.
Η Symantec σημειώνει ότι ένας νέος εισβολέας θα μπορούσε να είχε αποκτήσει το ωφέλιμο φορτίο NetWalker και να το προσαρμόσει για τη λειτουργία του ransomware.
Αν και δεν είναι επί του παρόντος σημαντικός παίκτης στη σκηνή του ransomware, το Alpha θεωρείται ως μια αναδυόμενη απειλή που πρέπει να προσέχουν οι οργανισμοί.
VIA:
bleepingcomputer.com
