(05102/2028 23:08 Perf de ransomware: ALPHV
EMSISOFT Blog
LABORATORIO DE MALWARE - RANSOMWARE
Perfil de ransomware: ALPHV
SENAN CONRAD - 23 DE FEVEREIRO DE 2022 - 8 MINUTOS DE LEITURA
ALPHV
ashi I
ALPHV é uma variante de ransomware que criptografa dados em sistemas
infectados e ameaga vazar dados roubados se 0 pagamento do resgate nado
for feito. E altamente personalizavel, o que permite que os agentes de
ameacas adaptem facilmente um ataque ao ambiente de destino. O ALPHV
foi observado pela primeira vez em novembro de 20201 e acredita-se que
seja o primeiro ransomware ativo codificado na linguagem de programacgao
Rust.
O que é ALPHV?
hitps:wwn-emsiso%. comfenfblog/4093"iransomware-profle-alphu! ano5102/2023 23:08 Perf de ransomuare: ALPHY
ALPHV é uma variedade de ransomware que criptografa arquivos usando
criptografia AES (embora 0 processo possa ser substituido para usar
ChaCha20) e exige um grande resgate por sua descriptografia. E 0 wnico
ransomware ativo desenvolvido usando Rust, uma linguagem de
programacao conhecida por seu desempenho e segurancga. O ALPHV usou
os recursos de plataforma cruzada do Rust para desenvolver variantes do
ransomware para Linux e Windows.
O ALPHV é categorizado como ransomware como servico (RaaS), um
modelo de negécios em que os desenvolvedores do ransomware o alugam
para afiliados, que recebem uma parte dos pagamentos do resgate em troca
da execucdo de um ataque bem-sucedido. A ALPHV oferece aos afiliados
uma parcela de receita maior do que muitas outras operacgGes RaaS, com os
afiliados ganhando 80% dos pagamentos de até US$ 1,5 milhdo, 85% dos
pagamentos de até US$ 3 milhées e 90% dos pagamentos acima de US$ 3
milhées. Os desenvolvedores do ALPHV normalmente recrutam afiliados
em foruns de hackers de lingua russa.
Para ampliar o impacto de um ataque, o ALPHV usa a exfiltragdo de dados
para pressionar ainda mais as vitimas e aumentar suas chances de
pagamento. Durante um ataque, os agentes de ameagas extraem grandes
quantidades de dados do sistema comprometido e ameacgam publica-los no
site de vazamento do ALPHV, a menos que a vitima pague 0 resgate.
O ALPHV é um dos poucos grupos de ransomware que também ameacam
as vitimas de DDoS que nao pagam 0 resgate. O ALPHV supostamente usa
sua propria botnet para executar manualmente os ataques DDoS. O grupo
enquadra o DDoS como uma espécie de recurso exclusivo, disponivel
apenas para afiliados que geraram mais de US$ 1,5 milhdo em pagamentos
de resgate.
A historia do ALPHV
hitps:luwncemsisot. comientblog/4093"ransomware-profle-alphu! 2n05102/2023 23:08 Perf de ransomuare: ALPHY
O ALPHV foi detectado pela primeira vez em novembro de 2021 e
rapidamente fez dezenas de vitimas nos primeiros meses de operacao.
E provavel que o ALPHV seja um rebranding de um grupo de ransomware
conhecido como BlackMatter, que por sua vez era um rebranding de um
grupo conhecido como Darkside. Acredita-se que esses esforcos de
rebranding possam ser uma tentativa dos agentes de ameacas de se
distanciarem de um erro de desenvolvimento caro que permitiu a Emsisoft
criar uma ferramenta de descriptografia gratuita do Blackmatter .
Os pesquisadores de seguranga cibernética originalmente batizaram o
ransomware de ‘BlackCat' em homenagem a imagem de um felino com
tinta que foi retratado no site de pagamento Tor de todas as vitimas. Porém,
em fevereiro de 2021, um representante do grupo confirmou que seu tinico
nome oficial é ALPHV.
Desde que o ALPHV foi descoberto, houve 194 envios ao ID Ransomware,
uma ferramenta online que ajuda as vitimas de ransomware a identificar
qual ransomware criptografou seus arquivos. Estimamos que apenas 25
por cento das vitimas fazem uma submissdo ao ID Ransomware, 0 que
significa que pode ter havido um total de 776 incidentes ALPHV desde 0
inicio do ransomware. Durante esse periodo, 0 grupo também publicou em
seu site de vazamento os dados roubados de pelo menos 40 organizagées.
nota de resgate ALPHV
hitps:luwncemsisot. comientblog/4093"ransomware-profle-alphu! ano5102/2023 23:08 Perf de ransomuare: ALPHY
Apés a implantagao do ransomware e a conclusao do processo de
criptografia, o ALPHV lanca uma nota de resgate no sistema infectado. A
nota de resgate tem o nome da extensdo de arquivo aparentemente
aleatoria que o ALPHV anexa a todos os arquivos criptografados e usa 0
seguinte formato de nomenclatura: 'RECOVER-[RANDOM EXTENSION]-
FILES.txt’.
A nota de resgate informa ao alvo que seus arquivos foram criptografados e
inclui um link para um site .onion onde a vitima pode fazer o pagamento. A
nota também inclui exemplos do tipo de dados roubados durante o ataque,
juntamente com ameagas de que os dados serdo publicados se a vitima se
recusar a cooperar.
Abaixo esta um exemplo de nota de resgate do ALPHV:
>> Introdugéo
Arquivos importantes em seu sistema foram CRIPTOGRAFADOS e agora
eles tém a extensdo “[REDACTED]”.
Para recuperar seus arquivos, vocé precisa seguir as instru¢ées abaixo.
>> Dados Sensiveis
Dados confidenciais em seu sistema foram BAIXADOS e seréo PUBLICADOS
se vocé se recusar a cooperar.
Os dados incluem:
[REDIGIDO]
-E mais...
A visualizacao privada esté publicada aqui: [REMOVIDO]
>> CUIDADO
NAO MODIFIQUE SEUS ARQUIVOS.
NAO USE SOFTWARE DE TERCEIROS PARA RESTAURAR SEUS DADOS.
VOCE PODE DANIFICAR SEUS ARQUIVOS, ISSO RESULTARA EM PERDA
PERMANENTE DE DADOS.
SEUS DADOS ESTAO FORTEMENTE CRIPTOGRAFADOS, VOCE NAO PODE
DEscriptograta-los SEM CHAVE CIPHER.
hitps:luwncemsisot. comentblog/4093"ransomware-profe-alphw! ano0510272023 23:08 Perf de ransomuare: ALPHY
>> Procedimento de recuperacado
Siga estes passos simples para entrar em contato e recuperar seus dados:
1) Baixe e instale o navegador Tor em: https://torproject.org/
2) Navegue até: [REDIGIDO]
Quem é 0 alvo do ALPHV?
O ALPHV tende a ter como alvo grandes organizac¢ées com recursos e
motivacdo para pagar grandes exigéncias de resgate. E capaz de infectar
sistemas Windows e Linux.
O ALPHV proibe ataques a nagées pertencentes 4 Comunidade de Estados
Independentes (CEI), que inclui Azerbaijao, Arménia, Bielorrussia,
Cazaquistéo, Quirguistao, Moldavia, Russia, Tadjiquistao, Turcomenistao,
Uzbequistao e Ucrania.
O grupo também projbe ataques a instituigdes governamentais, de satide e
educacionais. Se uma entidade pertencente a um desses setores for atacada,
o ALPHV afirma que fornecera descriptografia gratuita e banira 0 afiliado
infrator.
Como sempre, qualquer reclamagao feita por grupos de cibercrimes deve
ser tomada com cautela. O ALPHV ja publicou dados roubados de pelo
menos uma vitima no setor de satide (o grupo afirmou que suas regras para
evitar o setor de satide nao se aplicam a empresas farmacéuticas e clinicas
privadas). Além disso, mesmo que o grupo fornega descriptografia gratuita
para uma entidade afetada, o processo de recuperacao ainda pode levar
dias, semanas ou meses para ser concluido. Esse nivel de interrupcao pode
ter um impacto significativo na sade do paciente.
Como o ALPHV se espalha?
hitps:luwncemsisot. comientblog/4093"ransomware-profle-alphu! 5105102/2023 23:08 Perf de ransomuare: ALPHY
Os ataques ALPHV comegam violando a rede de destino. Os afiliados podem
usar uma variedade de métodos para infectar 0 sistema de destino,
incluindo RDP comprometido, ataques de phishing, credenciais roubadas e
exploragao de vulnerabilidades conhecidas.
Depois que o sistema for comprometido, os invasores podem usar varias
ferramentas para preparar o ambiente para criptografia e maximizar 0
impacto do ataque. Ferramentas como Mimikatz, LaZagne e
WebBrowserPassView sao usadas para acessar senhas salvas, que
permitem que os agentes de ameacas aumentem os privilégios e se
espalhem lateralmente pela rede. O MEGAsync é frequentemente usado
para exfiltrar dados, enquanto ferramentas anti-forenses como 0 File
Shredder as vezes sdo usadas para excluir arquivos com seguranc¢a e
impedir a andlise. O PowerShell geralmente é usado para modificar as
configuragées de seguranca do Windows Defender e as cdpias de volume de
sombra sao excluidas antes da criptografia para impedir que as
organizagG6es restaurem arquivos criptografados.
O ALPHV requer um token de acesso especifico para que o ransomware
seja executado corretamente. O token de acesso funciona como uma chave
Unica, que é usada para verificar a identificagdo da vitima e deve ser
fornecida ao acessar 0 site de pagamento ALPHV .onion. O token de acesso
impede que terceiros (como pesquisadores de ransomware) invadam o que
deveria ser uma negociacao privada entre a vitima e o invasor.
Como o ALPHV opera como um Raa& e pode ser distribuido por muitas
afiliadas diferentes, a anatomia exata de um ataque pode variar de
incidente para incidente.
Grandes ataques ALPHV
™ Oiltanking : No final de novembro de 2021, a distribuidora de gasolina
alem4 Oiltanking GmbH foi vitima de um ataque ALPHV. O incidente
afetou 13 terminais de combustiveis, incluindo os sistemas
hitps:luwncemsisot. comientblog/4093"ransomware-profle-alphu! ano5102/2023 23:08 Perf de ransomuare: ALPHY
automatizados responsaveis pela carga e descarga dos tanques de
combustivel, e obrigou a empresa a recorrer a processos manuais.
Mais de 200 postos de gasolina, localizados principalmente no norte
da Alemanha, foram afetados durante 0 ataque.
= Swissport : Em fevereiro de 2022, a Swissport, fornecedora lider
mundial de servicos terrestres e manuseio de carga para a industria
da aviacao, foi supostamente atingida por ALPHV. O grupo postou em
seu site de vazamento de dados uma pequena amostra de arquivos
que aparentemente foram roubados durante o ataque, incluindo
passaportes, anotagdes comerciais internas e informagées pessoais de
candidatos a empregos. O grupo também se ofereceu para vender todo
o conjunto de dados roubados de 1,6 TB.
Como proteger a rede do ALPHV e outros
ransomwares
As praticas a seguir podem ajudar as organizagées a reduzir o risco de um
incidente ALPHV.
= Treinamento de conscientizagado sobre seguranga cibernética : como a
maioria dos ransomwares se espalha por meio de ac6es iniciadas pelo
usuario, as organizagées devem implementar iniciativas de
treinamento que se concentrem em ensinar aos usuarios finais os
fundamentos da seguranga cibernética. Os métodos de ransomware e
propagacao estao em constante evolugio, portanto, o treinamento
deve ser um processo continuo para garantir que os usuarios finais
estejam protegidos contra as ameagas atuais.
™ Higiene de credenciais : Praticar uma boa higiene de credenciais pode
ajudar a prevenir ataques de forca bruta, atenuar os efeitos do roubo
de credenciais e reduzir 0 risco de acesso nao autorizado a rede.
= Autenticagdo multifator : o MFA fornece uma camada extra de
seguranca que pode ajudar a impedir o acesso nao autorizado a
hitps:luwncemsisot. comientblog/4093"ransomware-profle-alphu! m05102/2023 23:08 Perf de ransomuare: ALPHY
contas, ferramentas, sistemas e repositérios de dados. As organizagées
devem considerar habilitar o MFA sempre que possivel.
m Patches de seguranca : organizacées de todos os tamanhos devem ter
uma estratégia robusta de gerenciamento de patches que garanta que
as atualizagdes de seguranca em todos os endpoints, servidores e
dispositivos sejam aplicadas o mais rapido possivel para minimizar a
janela de oportunidade para um ataque.
= Backups : os backups sao uma das formas mais eficazes de mitigar os
efeitos de um incidente de ransomware. Muitos tipos de ransomware
podem se espalhar lateralmente pela rede e criptografar backups
armazenados localmente, portanto, as organizacées devem usar uma
mistura de armazenamento de midia e armazenar cépias de backup
dentro e fora do local. Consulte este guia para obter mais informagées
sobre como criar backups a prova de ransomware .
= Endurecimento do sistema : Fortalecer redes, servidores, sistemas
operacionais e aplicativos é crucial para reduzir a superficie de
ataque e gerenciar possiveis vulnerabilidades de seguranga. Desativar
servicos desnecessarios e potencialmente exploraveis, como
PowerShell, RDP, Windows Script Host, macros do Microsoft Office,
etc. reduz o risco de infecgao inicial, enquanto a implementagao do
principio do privilégio minimo pode ajudar a evitar movimentos
laterais.
™ Bloquear macros : muitas familias de ransomware sao fornecidas por
meio de documentos PDF ou do Microsoft Office incorporados a
macros. As organizagées devem revisar 0 uso de macros, considerar 0
bloqueio de todas as macros da Internet e permitir que apenas macros
examinadas e aprovadas sejam executadas em locais confiaveis.
= Autenticagdo de e-mail : as organizagées podem usar uma variedade
de técnicas de autenticagao de e-mail, como Sender Policy Framework,
DomainKeys Identified Mail e Autenticagaéo de mensagem baseada em
dominio, relatérios e conformidade para detectar falsificagao de e-
mail e identificar mensagens suspeitas.
hitps:luwncemsisot. comientblog/4093"ransomware-profle-alphu! ano5102/2023 23:08 Perf de ransomuare: ALPHY
m™ Segregacdo de rede : a segregacao de rede eficaz ajuda a conter
incidentes, evita a propagacgdo de malware e reduz a interrupcdo dos
negocios em geral.
™ Monitoramento de rede : organizagées de todos os tamanhos devem
ter sistemas para monitorar possiveis canais de exfiltragao de dados e
responder imediatamente a atividades suspeitas.
™ Teste de penetragdo : 0 teste de penetragao pode ser util para revelar
vulnerabilidades na infraestrutura de TI e a suscetibilidade dos
funcionarios a ransomware. Os resultados do teste podem ser usados
para alocar recursos de TI e informar futuras decisdes de seguranca
cibernética.
™ Plano de resposta a incidentes : as organizagdes devem ter um plano
abrangente de resposta a incidentes que detalhe exatamente 0 que
fazer em caso de infecgdo. Uma resposta rapida pode ajudar a impedir
que o malware se espalhe, minimizar a interrup¢do e garantir que o
incidente seja corrigido da forma mais eficiente possivel.
Como remover o ALPHV e outros
ransomwares
O ALPHV usa métodos de criptografia que atualmente impossibilitam a
descriptografia de dados sem pagar por uma ferramenta de descriptografia
fornecida pelo invasor.
As vitimas de ALPHV devem estar preparadas para restaurar seus sistemas
a partir de backups, usando processos que devem ser definidos no plano de
resposta a incidentes da organizacao. As seguintes acdes sao
recomendadas:
™ Tome medidas para conter a ameaga.
™ Determine a extensdo da infecgao.
™ Identifique a fonte da infecgao.
hitps:luwncemsisot. comientblog/4093"ransomware-profle-alphu! sno0510212028 23:06 Perf de ransomware: ALPHV
= Colete evidéncias.
™ Restaure o sistema a partir dos backups.
™ Certifique-se de que todos os dispositivos na rede estejam limpos.
™ Realize uma andlise forense abrangente para determinar 0 vetor de
ataque, o escopo do incidente e a extensdo da exfiltragdo de dados.
™ Identifique e fortaleca as vulnerabilidades para reduzir 0 risco de um
incidente repetido.
CO) Senan Conrad
Como um entusiasta da seguranca cibernética, Senan se especializou em
eo fornecer aos leitores informagées sobre o mundo em constante mudanga do
malware e, em particular, a cena do ransomware. Quando ele nao esta
digitando em seu teclado, vocé pode pegar Senan tomando um bom café ou
mexendo em sua oficina.
hitps:luwncemsisot. comientblog/4093"ransomware-profle-alphu! 10110