Новая операция по борьбе с вымогательством под названием RedAlert, или N13V, шифрует серверы VMWare ESXi под управлением Windows и Linux при атаках на корпоративные сети.
RedAlert Ransomware
Программа была названа 'RedAlert' на основе строки, использованной в записке о выкупе.
Шифровальщик Linux создан для серверов VMware ESXi с опциями командной строки, которые позволяют участникам угрозы отключать все работающие виртуальные машины перед шифрованием файлов.
Полный список опций командной строки приведен ниже.
-w Выполнить команду для остановки всех запущенных виртуальных машин.
-p Путь для шифрования (по умолчанию шифруются только файлы в каталоге, без учета подкаталогов)
-f Файл для шифрования
-r Рекурсивный. Используется только с -p (поиск и шифрование будет включать подкаталоги)
-t Проверить время шифрования (только шифрование, без генерирования ключей, выделения памяти ...)
-n Поиск без шифрования файлов.(показывает файлы и папки с некоторой информацией)
-x Тесты производительности асимметричной криптографии. ТЕСТЫ ОТЛАДКИ
-h Показать это сообщение
При запуске программы-выкупа с аргументом '-w' шифровальщик Linux выключит все работающие виртуальные машины VMware ESXi с помощью следующей команды esxcli:
esxcli --formatter=csv --format-param=fields=="WorldID,DisplayName" vm process list | tail -n +2 | awk -F $',' '{system("esxcli vm process kill --type=force --world-id=" $1)}'.
При шифровании файлов программа-вымогатель использует алгоритм шифрования с открытым ключом NTRUEncrypt, который поддерживает различные "наборы параметров", обеспечивающие различные уровни безопасности.
Интересной особенностью RedAlert/N13V является опция командной строки '-x', которая выполняет "тестирование производительности асимметричной криптографии" с использованием различных наборов параметров NTRUEncrypt. Однако неясно, есть ли способ принудительно использовать определенный набор параметров при шифровании и/или выкупающая программа сама выберет более эффективный набор.
Единственной другой известной программой-вымогателем, использующей этот алгоритм шифрования, является FiveHands.
При шифровании файлов вымогатель нацеливается только на файлы, связанные с виртуальными машинами VMware ESXi, включая файлы журналов, файлы подкачки, виртуальные диски и файлы памяти:
- .log
- .vmdk
- .vmem
- .vswp
- .vmsn
В каждой папке ransomware также создает пользовательскую записку с именем HOW_TO_RESTORE, которая содержит описание украденных данных и ссылку на уникальный сайт TOR для оплаты выкупа жертвы.
Платежный сайт Tor похож на другие сайты по работе с выкупом, поскольку на нем отображается требование выкупа и предоставляется возможность договориться с субъектами угрозы.
Однако RedAlert/N13V принимает к оплате только криптовалюту Monero, которая обычно не продается на криптобиржах США, поскольку является монетой конфиденциальности.
Хотя был найден только шифратор для Linux, на сайте оплаты есть скрытые элементы, показывающие, что дешифраторы для Windows также существуют.
Indicators of Compromise
URLs
- http://blog2hkbm6gogpv2b3uytzi3bj5d5zmc4asbybumjkhuqhas355janyd.onion
MD5
- f2fa9a3ce883a7f5b43ba5c9ff7bdf75
SHA1
- da6a7e9d39f6a9c802bbd1ce60909de2b6e2a2aa
SHA256
- 039e1765de1cdec65ad5e49266ab794f8e5642adb0bdeb78d8c0b77e8b34ae09
SHA512
- 0411fb1d4fc32259f5bfad32040cd0d9632502505fbbf5fe1f8c581faab8cc04285698a2bbdd87ad147ad3fec
