Контакты
Подписка 2024
ITSEC 2024
Персональные данные в 2025 году: новые требования и инструменты. 16 октября, Москва, Форум ITSEC 2024
Регистрируйтесь и приходите!

Новое вымогательское ПО RedAlert атакует серверы WIndows и Linux VMware ESXi

07/07/22

hack58-Jul-07-2022-09-09-50-59-AM

Специалисты из MalwareHunterTeam обнаружили новую вымогательскую кампанию, направленную на корпоративные сети, передает Securitylab. Операторы вымогательского ПО шифруют серверы VMware ESXi на Windows и Linux. Специалисты назвали вредонос Red Alert, основываясь на строке, найденной в записке с требованием выкупа. Операция носит название “N13V” – так ее называют сами вымогатели.

RedAlert был создан для атак на серверы VMware ESXi. У вредоноса есть особенность - он позволяет взаимодействовать с командной строкой, благодаря чему хакеры могут отключать все работающие виртуальные машины перед шифрованием файлов. Полный список команд приведен ниже:

-w Run command for stop all running VM`s

-p Path to encrypt (by default encrypt only files in directory, not include subdirectories)

-f File for encrypt

-r Recursive. used only with -p ( search and encryption will include subdirectories )

-t Check encryption time(only encryption, without key-gen, memory allocates ...)

-n Search without file encryption.(show ffiles and folders with some info)

-x Asymmetric cryptography performance tests. DEBUG TESTS

-h Show this message

При запуске вредоноса с параметром “-w” шифратор завершает работу всех виртуальных машин VMware ESXi с помощью следующей команды:

esxcli --formatter=csv --format-param=fields=="WorldID,DisplayName" vm process list | tail -n +2 | awk -F $',' '{system("esxcli vm process kill --type=force --world-id=" $1)}'

При шифровании файлов RedAlert использует алгоритм шифрования NTRUEncrypt . Интересной особенностью вредоноса является функция, вызываемая параметром ‘'-x' в командной строке. Эта функция выполняет тестирование производительности асимметричной криптографии, используя разные наборы параметров NTRUEncrypt.

При шифровании вредонос выбирает только логи, файлы подкачки, виртуальные диски и память:

  • .log
  • .vmdk
  • .vmem
  • .vswp
  • .vmsn

К зашифрованным файлам добавляется расширение .crypt658. Кроме этого, RedAlert создает в каждой папке записку с именем HOW_TO_RESTORE, которая содержит описание украденных данных и ссылку на уникальный TOR-сайт для оплаты выкупа.

pasted image 0 (9)

N13V принимает к оплате только криптовалюту Monero , которая обычно не продается на криптобиржах США, поскольку является монетой конфиденциальности.

Темы:LinuxУгрозыВымогателиMalwareHunterTeam
Безопасная разработка
Москва | 15 октября 2024 | Доверенные решения для защиты российских ОС на базе Linux и миграции
Регистрируйтесь и приходите на Форум ITSEC 2024
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Защита АСУ ТП и КИИ: готовимся к 2025 году
Обсуждаем на ITSEC 2024!

Еще темы...

More...