Bienvenido al blog de Undercode   Click to listen highlighted text! Bienvenido al blog de Undercode
Inicio Noticias Nuevo: RedAlert Ransomware apunta a servidores Windows, Linux VMware ESXi

Nuevo: RedAlert Ransomware apunta a servidores Windows, Linux VMware ESXi

por Dragora

Una nueva operación de ransomware llamada RedAlert, o N13V, cifra los servidores VMWare ESXi de Windows y Linux en ataques a redes corporativas.

La nueva operación fue descubierta hoy por MalwareHunterTeam,  quien tuiteó  varias imágenes del sitio de fuga de datos de la pandilla.

El ransomware se ha llamado ‘RedAlert’ en base a una cadena utilizada en la nota de rescate. Sin embargo, a partir de un cifrador de Linux obtenido por BleepingComputer, los actores de la amenaza llaman internamente a su operación ‘N13V’, como se muestra a continuación.

 

Opciones de línea de comandos del ransomware RedAlert/N13V
RedAlert/N13V ransomware opciones de línea de comandos
Fuente: BleepingComputer

 

El cifrado de Linux se crea para apuntar a los servidores VMware ESXi, con opciones de línea de comandos que permiten a los actores de amenazas apagar cualquier máquina virtual en ejecución antes de cifrar los archivos.

La lista completa de opciones de línea de comandos se puede ver a continuación.

 

1
2
3
4
5
6
7
8
-w   Run command for stop all running VM`s
-p   Path to encrypt (by default encrypt only files in directory, not include subdirectories)
-f   File for encrypt
-r   Recursive. used only with -p ( search and encryption will include subdirectories )
-t   Check encryption time(only encryption, without key-gen, memory allocates ...)
-n   Search without file encryption.(show ffiles and folders with some info)
-x   Asymmetric cryptography performance tests. DEBUG TESTS
-h   Show this message

 

Al ejecutar el ransomware con el 

1
-w

argumento ‘ ‘, el cifrador de Linux apagará todas las máquinas virtuales VMware ESXi en ejecución mediante el siguiente comando esxcli:

 

1
esxcli --formatter=csv --format-param=fields=="WorldID,DisplayName" vm process list | tail -n +2 | awk -F $',' '{system("esxcli vm process kill --type=force --world-id=" $1)}'

 

Al cifrar archivos, el ransomware utiliza el   algoritmo de cifrado de clave pública NTRUEncrypt , que admite varios «Conjuntos de parámetros» que ofrecen diferentes niveles de seguridad.

Una característica interesante de RedAlert/N13V es la opción de línea de comandos ‘-x’ que realiza ‘pruebas de rendimiento de criptografía asimétrica’ utilizando estos diferentes conjuntos de parámetros NTRUEncrypt. Sin embargo, no está claro si hay una forma de forzar un conjunto de parámetros en particular al cifrar y/o si el ransomware seleccionará uno más eficiente.

La única otra operación de ransomware conocida que utiliza este algoritmo de cifrado es  FiveHands .

 

Prueba de velocidad de cifrado NTRUEncrypt
Prueba de velocidad de cifrado NTRUEncrypt
Fuente: BleepingComputer

 

Al cifrar archivos, el ransomware solo tendrá como objetivo los archivos asociados con las máquinas virtuales VMware ESXi, incluidos los archivos de registro, los archivos de intercambio, los discos virtuales y los archivos de memoria, como se indica a continuación.

 

1
2
3
4
5
.log
.vmdk
.vmem
.vswp
.vmsn

 

En la muestra analizada por BleepingComputer, el ransomware encriptaría estos tipos de archivos y agregaría la extensión  .crypt[number]  a los nombres de archivo de los archivos encriptados.

 

Cifrado de archivos en Linux con RedAlert
Cifrado de archivos en Linux con RedAlert
Fuente: BleepingComputer

En cada carpeta, el ransomware también creará una nota de rescate personalizada llamada HOW_TO_RESTORE , que contiene una descripción de los datos robados y un enlace a un sitio de pago de rescate TOR único para la víctima.

Alerta roja / nota de rescate N13V

Alerta roja / nota de rescate N13V
Fuente: BleepingComputer

 

El sitio de pago Tor es similar a otros sitios de operación de ransomware, ya que muestra la demanda de rescate y proporciona una forma de negociar con los actores de amenazas.

Sin embargo, RedAlert/N13V solo acepta la criptomoneda Monero para el pago, que no se vende comúnmente en los intercambios de criptomonedas de EE. UU. porque es una moneda de privacidad.

 

Sitio de negociación RedAlert / N13V Tor
Sitio de negociación RedAlert / N13V Tor
Fuente: BleepingComputer

 

Si bien solo se ha encontrado un encriptador de Linux, el sitio de pago tiene elementos ocultos que muestran que también existen desencriptadores de Windows.

«Junta de la vergüenza»

Como casi todas las nuevas operaciones de ransomware dirigidas a empresas, RedAlert lleva a cabo ataques de doble extorsión, que es cuando se roban datos y luego se implementa ransomware para cifrar dispositivos.

Esta táctica proporciona dos métodos de extorsión, lo que permite a los actores de amenazas no solo exigir un rescate para recibir un descifrador, sino también exigir uno para evitar la filtración de datos robados.

Cuando una víctima no paga una demanda de rescate, la pandilla RedAlert publica datos robados en su sitio de fuga de datos que cualquiera puede descargar.

 

Sitio de fuga de datos RedAlert/N13V
Fuente del sitio de fuga de datos RedAlert / N13V
: BleepingComputer

 

Actualmente, el sitio de fuga de datos de RedAlert solo contiene los datos de una organización, lo que indica que la operación es muy nueva.

Si bien no ha habido mucha actividad con la nueva operación de ransomware N13V/RedAlert, definitivamente tendremos que estar atentos debido a su funcionalidad avanzada y soporte inmediato tanto para Linux como para Windows.

Fuente: https://www.bleepingcomputer.com

You may also like

Dejar Comentario

Click to listen highlighted text!