据BleepingComputer网站报道,安全研究团队MalwareHunterTeam发现了一款??新的勒索软件——ALPHV。据研究人员称,这可能是今年最复杂的勒索软件,具有高度可定制的功能集,允许对各种企业环境进行攻击。ALPHV于11月首次被发现,当时该软件正在俄语黑客论坛上进行推广。ALPHV的可执行文件是用Rust编写的,这对于恶意软件开发人员来说并不常见,但由于其高性能和内存安全性而变得越来越流行。MalwareHunterTeam也将ALPHVBlackCat命名为ALPHVBlackCat,因为在Tor支付网站上使用了相同的黑猫图标,在数据泄露网站上使用了一把带血的匕首。Tor支付和数据泄露网站上使用的图标与所有其他勒索软件即服务(RaaS)操作一样,ALPHV开发人员招募运营公司来实施他们的犯罪活动。作为回报,这些公司可以根据赎金的多少获得相应的份额,份额从80%到90%不等。ALPHV勒索软件的功能ALPHV与其他勒索软件操作的区别在于它包含的高级功能的数量。ALPHV完全由命令行驱动、人工操作且高度可配置,能够在使用不同加密程序的计算机之间传播,终止虚拟机和ESXi虚拟机,并自动擦除ESXi快照以防止恢复。可以使用--help命令行参数找到这些可配置选项。ALPHV勒索软件命令行参数每个ALPHV勒索软件可执行文件都包含一个JSON配置,允许自定义扩展、赎金记录、数据加密方式、隐藏文件夹/文件/扩展以及自动终止的服务和进程。根据发布者在黑客论坛上的描述,ALPHV没有使用任何模板或之前泄露的其他勒索软件的源代码,并且可以配置为使用五种不同的加密模式:Full:全文件加密。最安全也最慢。快速:加密前N兆字节。已弃用,这是最不安全的解决方案,但速度最快。DotPattern:M步加密N兆字节。如果配置不正确,Fast的速度和加密强度都会很差。自动:根据文件的类型和大小,存储(在windows和*nix/esxi上)选择最佳(在速度/安全方面)策略来处理文件。-SmartPattern-以百分比为单位加密N兆字节。默认情况下,它从文件头开始每10%加密10MB。这是速度/密码强度比的最佳模式。两种加密算法:ChaCha20AES在自动模式下,软件检测是否存在AES硬件支持(存在于所有现代处理器中)并使用它。如果不支持AES,软件将对文件进行ChaCha20加密。ALPHV还可以配置域凭据,用于传播勒索软件和加密网络上的其他设备。该可执行文件随后会将PSExec提取到%Temp%文件夹,使用它将勒索软件复制到网络系统中的其他设备,并对这些设备进行远程加密。启动勒索软件时,分支机构可以使用基于控制台的用户界面,使他们能够监控攻击的进度。下图显示了使用附加了.bleepin扩展名的修改后的可执行文件加密测试设备时的进度页面。被加密计算机的进度页面在测试的样本中,ALPHV终止了可能阻止文件被加密的进程和Windows服务,包括Veeam、备份软件、数据库服务器、MicrosoftExchange、Office应用程序、邮件客户端和玩家最爱的Steam。在此过程中,ALPHV还会清空回收站、删除卷影副本,并扫描并连接到其他网络设备。通常,在加密设备时,勒索软件会使用随机扩展名附加到所有文件并包含在勒索票据中。赎金票据以“RECOVER-[扩展名]-FILES.txt”格式命名,由执行攻击的运营公司预先配置,并且对每个受害者都不同。一些赎金记录包括被盗数据的类型和Tor数据泄露站点的链接,受害者可以在其中预览被盗数据。每个受害者还有一个独特的Tor站点,有时还有一个独特的数据泄露站点,允许运营公司进行一对一的协商。ALPHV还声称支持多种操作系统,包括:Windows7及更高版本系列(在7、8.1、10、11上测试;2008r2、2012、2016、2019、2022);XP和2003可以通过SMB加密。ESXI(在5.5、6.5、7.0.2u上测试)Debian(在7、8、9上测试);Ubuntu(在18.04、20.04上测试)ReadyNAS、Synology勒索软件专家和ID勒索软件创建者MichaelGilleySpie分析了勒索软件使用的加密程序,但无法找到任何允许免费解密的弱点。AccessToken功能为谈判保密一般而言,受害方在与勒索方谈判时,谈判信息有时会通过恶意软件分析站点泄露,从而影响最终的谈判结果。为防止这种情况,ALPHV引入了一个命令行参数--access-token=[access_token],该参数在启动加密器时是必需的。此访问令牌用于创建在此勒索软件Tor支付站点上进行协商所需的访问密钥。由于此令牌未包含在恶意软件样本中,即使它被上传到恶意软件分析站点,研究人员也不会在没有实际攻击的赎金票据的情况下使用它来访问谈判站点。ALPHVTor支付的赎金从40万美元到数百万美元不等,数千美元可以用比特币或门罗币支付,但如果受害者用比特币支付,将额外收取15%的费用。由于门罗币被认为是一种隐私币并被美国政府禁止,因此一些受害者很难用门罗币支付。此外,ALPHV不接受受害人聘请谈判公司进行谈判,否则将以删除数据相威胁或故意泄露数据。ALPHV强调更直接的私人谈判。总的来说,ALPHV是一个高度复杂的勒索软件,攻击者在实施攻击前后的各个方面都考虑得很清楚。随着著名的BlackMatter和REvil在执法部门的打击下逐渐消失,勒索软件市场已经形成了很大的缺口,而ALPHV很可能是填补这一缺口的最佳人选。参考来源:https://www.bleepingcomputer.com/news/security/alphv-blackcat-this-years-most-sophisticated-ransomware/
