Una nueva operación de ransomware llamada RedAlert, o N13V, cifra los servidores VMWare ESXi de Windows y Linux en ataques a redes corporativas.
La nueva operación fue descubierta hoy por MalwareHunterTeam, quien tuiteó varias imágenes del sitio de fuga de datos de la pandilla.
El ransomware se ha llamado ‘RedAlert’ en base a una cadena utilizada en la nota de rescate. Sin embargo, a partir de un cifrador de Linux obtenido por BleepingComputer, los actores de la amenaza llaman internamente a su operación ‘N13V’, como se muestra a continuación.
El cifrado de Linux se crea para apuntar a los servidores VMware ESXi, con opciones de línea de comandos que permiten a los actores de amenazas apagar cualquier máquina virtual en ejecución antes de cifrar los archivos.
La lista completa de opciones de línea de comandos se puede ver a continuación.
1
2
3
4
5
6
7
8 -w Run command for stop all running VM`s
-p Path to encrypt (by default encrypt only files in directory, not include subdirectories)
-f File for encrypt
-r Recursive. used only with -p ( search and encryption will include subdirectories )
-t Check encryption time(only encryption, without key-gen, memory allocates ...)
-n Search without file encryption.(show ffiles and folders with some info)
-x Asymmetric cryptography performance tests. DEBUG TESTS
-h Show this message
Al ejecutar el ransomware con el
1 | -w |
argumento ‘ ‘, el cifrador de Linux apagará todas las máquinas virtuales VMware ESXi en ejecución mediante el siguiente comando esxcli:
1 esxcli --formatter=csv --format-param=fields=="WorldID,DisplayName" vm process list | tail -n +2 | awk -F $',' '{system("esxcli vm process kill --type=force --world-id=" $1)}'
Al cifrar archivos, el ransomware utiliza el algoritmo de cifrado de clave pública NTRUEncrypt , que admite varios «Conjuntos de parámetros» que ofrecen diferentes niveles de seguridad.
Una característica interesante de RedAlert/N13V es la opción de línea de comandos ‘-x’ que realiza ‘pruebas de rendimiento de criptografía asimétrica’ utilizando estos diferentes conjuntos de parámetros NTRUEncrypt. Sin embargo, no está claro si hay una forma de forzar un conjunto de parámetros en particular al cifrar y/o si el ransomware seleccionará uno más eficiente.
La única otra operación de ransomware conocida que utiliza este algoritmo de cifrado es FiveHands .
Al cifrar archivos, el ransomware solo tendrá como objetivo los archivos asociados con las máquinas virtuales VMware ESXi, incluidos los archivos de registro, los archivos de intercambio, los discos virtuales y los archivos de memoria, como se indica a continuación.
1
2
3
4
5 .log
.vmdk
.vmem
.vswp
.vmsn
En la muestra analizada por BleepingComputer, el ransomware encriptaría estos tipos de archivos y agregaría la extensión .crypt[number] a los nombres de archivo de los archivos encriptados.
En cada carpeta, el ransomware también creará una nota de rescate personalizada llamada HOW_TO_RESTORE , que contiene una descripción de los datos robados y un enlace a un sitio de pago de rescate TOR único para la víctima.
Alerta roja / nota de rescate N13V
Fuente: BleepingComputer
El sitio de pago Tor es similar a otros sitios de operación de ransomware, ya que muestra la demanda de rescate y proporciona una forma de negociar con los actores de amenazas.
Sin embargo, RedAlert/N13V solo acepta la criptomoneda Monero para el pago, que no se vende comúnmente en los intercambios de criptomonedas de EE. UU. porque es una moneda de privacidad.
Si bien solo se ha encontrado un encriptador de Linux, el sitio de pago tiene elementos ocultos que muestran que también existen desencriptadores de Windows.
«Junta de la vergüenza»
Como casi todas las nuevas operaciones de ransomware dirigidas a empresas, RedAlert lleva a cabo ataques de doble extorsión, que es cuando se roban datos y luego se implementa ransomware para cifrar dispositivos.
Esta táctica proporciona dos métodos de extorsión, lo que permite a los actores de amenazas no solo exigir un rescate para recibir un descifrador, sino también exigir uno para evitar la filtración de datos robados.
Cuando una víctima no paga una demanda de rescate, la pandilla RedAlert publica datos robados en su sitio de fuga de datos que cualquiera puede descargar.
Actualmente, el sitio de fuga de datos de RedAlert solo contiene los datos de una organización, lo que indica que la operación es muy nueva.
Si bien no ha habido mucha actividad con la nueva operación de ransomware N13V/RedAlert, definitivamente tendremos que estar atentos debido a su funcionalidad avanzada y soporte inmediato tanto para Linux como para Windows.
Fuente: https://www.bleepingcomputer.com