(05102/2028 23:08 Perf de ransomware: ALPHV EMSISOFT Blog LABORATORIO DE MALWARE - RANSOMWARE Perfil de ransomware: ALPHV SENAN CONRAD - 23 DE FEVEREIRO DE 2022 - 8 MINUTOS DE LEITURA ALPHV ashi I ALPHV é uma variante de ransomware que criptografa dados em sistemas infectados e ameaga vazar dados roubados se 0 pagamento do resgate nado for feito. E altamente personalizavel, o que permite que os agentes de ameacas adaptem facilmente um ataque ao ambiente de destino. O ALPHV foi observado pela primeira vez em novembro de 20201 e acredita-se que seja o primeiro ransomware ativo codificado na linguagem de programacgao Rust. O que é ALPHV? hitps:wwn-emsiso%. comfenfblog/4093"iransomware-profle-alphu! ano5102/2023 23:08 Perf de ransomuare: ALPHY ALPHV é uma variedade de ransomware que criptografa arquivos usando criptografia AES (embora 0 processo possa ser substituido para usar ChaCha20) e exige um grande resgate por sua descriptografia. E 0 wnico ransomware ativo desenvolvido usando Rust, uma linguagem de programacao conhecida por seu desempenho e segurancga. O ALPHV usou os recursos de plataforma cruzada do Rust para desenvolver variantes do ransomware para Linux e Windows. O ALPHV é categorizado como ransomware como servico (RaaS), um modelo de negécios em que os desenvolvedores do ransomware o alugam para afiliados, que recebem uma parte dos pagamentos do resgate em troca da execucdo de um ataque bem-sucedido. A ALPHV oferece aos afiliados uma parcela de receita maior do que muitas outras operacgGes RaaS, com os afiliados ganhando 80% dos pagamentos de até US$ 1,5 milhdo, 85% dos pagamentos de até US$ 3 milhées e 90% dos pagamentos acima de US$ 3 milhées. Os desenvolvedores do ALPHV normalmente recrutam afiliados em foruns de hackers de lingua russa. Para ampliar o impacto de um ataque, o ALPHV usa a exfiltragdo de dados para pressionar ainda mais as vitimas e aumentar suas chances de pagamento. Durante um ataque, os agentes de ameagas extraem grandes quantidades de dados do sistema comprometido e ameacgam publica-los no site de vazamento do ALPHV, a menos que a vitima pague 0 resgate. O ALPHV é um dos poucos grupos de ransomware que também ameacam as vitimas de DDoS que nao pagam 0 resgate. O ALPHV supostamente usa sua propria botnet para executar manualmente os ataques DDoS. O grupo enquadra o DDoS como uma espécie de recurso exclusivo, disponivel apenas para afiliados que geraram mais de US$ 1,5 milhdo em pagamentos de resgate. A historia do ALPHV hitps:luwncemsisot. comientblog/4093"ransomware-profle-alphu! 2n05102/2023 23:08 Perf de ransomuare: ALPHY O ALPHV foi detectado pela primeira vez em novembro de 2021 e rapidamente fez dezenas de vitimas nos primeiros meses de operacao. E provavel que o ALPHV seja um rebranding de um grupo de ransomware conhecido como BlackMatter, que por sua vez era um rebranding de um grupo conhecido como Darkside. Acredita-se que esses esforcos de rebranding possam ser uma tentativa dos agentes de ameacas de se distanciarem de um erro de desenvolvimento caro que permitiu a Emsisoft criar uma ferramenta de descriptografia gratuita do Blackmatter . Os pesquisadores de seguranga cibernética originalmente batizaram o ransomware de ‘BlackCat' em homenagem a imagem de um felino com tinta que foi retratado no site de pagamento Tor de todas as vitimas. Porém, em fevereiro de 2021, um representante do grupo confirmou que seu tinico nome oficial é ALPHV. Desde que o ALPHV foi descoberto, houve 194 envios ao ID Ransomware, uma ferramenta online que ajuda as vitimas de ransomware a identificar qual ransomware criptografou seus arquivos. Estimamos que apenas 25 por cento das vitimas fazem uma submissdo ao ID Ransomware, 0 que significa que pode ter havido um total de 776 incidentes ALPHV desde 0 inicio do ransomware. Durante esse periodo, 0 grupo também publicou em seu site de vazamento os dados roubados de pelo menos 40 organizagées. nota de resgate ALPHV hitps:luwncemsisot. comientblog/4093"ransomware-profle-alphu! ano5102/2023 23:08 Perf de ransomuare: ALPHY Apés a implantagao do ransomware e a conclusao do processo de criptografia, o ALPHV lanca uma nota de resgate no sistema infectado. A nota de resgate tem o nome da extensdo de arquivo aparentemente aleatoria que o ALPHV anexa a todos os arquivos criptografados e usa 0 seguinte formato de nomenclatura: 'RECOVER-[RANDOM EXTENSION]- FILES.txt’. A nota de resgate informa ao alvo que seus arquivos foram criptografados e inclui um link para um site .onion onde a vitima pode fazer o pagamento. A nota também inclui exemplos do tipo de dados roubados durante o ataque, juntamente com ameagas de que os dados serdo publicados se a vitima se recusar a cooperar. Abaixo esta um exemplo de nota de resgate do ALPHV: >> Introdugéo Arquivos importantes em seu sistema foram CRIPTOGRAFADOS e agora eles tém a extensdo “[REDACTED]”. Para recuperar seus arquivos, vocé precisa seguir as instru¢ées abaixo. >> Dados Sensiveis Dados confidenciais em seu sistema foram BAIXADOS e seréo PUBLICADOS se vocé se recusar a cooperar. Os dados incluem: [REDIGIDO] -E mais... A visualizacao privada esté publicada aqui: [REMOVIDO] >> CUIDADO NAO MODIFIQUE SEUS ARQUIVOS. NAO USE SOFTWARE DE TERCEIROS PARA RESTAURAR SEUS DADOS. VOCE PODE DANIFICAR SEUS ARQUIVOS, ISSO RESULTARA EM PERDA PERMANENTE DE DADOS. SEUS DADOS ESTAO FORTEMENTE CRIPTOGRAFADOS, VOCE NAO PODE DEscriptograta-los SEM CHAVE CIPHER. hitps:luwncemsisot. comentblog/4093"ransomware-profe-alphw! ano0510272023 23:08 Perf de ransomuare: ALPHY >> Procedimento de recuperacado Siga estes passos simples para entrar em contato e recuperar seus dados: 1) Baixe e instale o navegador Tor em: https://torproject.org/ 2) Navegue até: [REDIGIDO] Quem é 0 alvo do ALPHV? O ALPHV tende a ter como alvo grandes organizac¢ées com recursos e motivacdo para pagar grandes exigéncias de resgate. E capaz de infectar sistemas Windows e Linux. O ALPHV proibe ataques a nagées pertencentes 4 Comunidade de Estados Independentes (CEI), que inclui Azerbaijao, Arménia, Bielorrussia, Cazaquistéo, Quirguistao, Moldavia, Russia, Tadjiquistao, Turcomenistao, Uzbequistao e Ucrania. O grupo também projbe ataques a instituigdes governamentais, de satide e educacionais. Se uma entidade pertencente a um desses setores for atacada, o ALPHV afirma que fornecera descriptografia gratuita e banira 0 afiliado infrator. Como sempre, qualquer reclamagao feita por grupos de cibercrimes deve ser tomada com cautela. O ALPHV ja publicou dados roubados de pelo menos uma vitima no setor de satide (o grupo afirmou que suas regras para evitar o setor de satide nao se aplicam a empresas farmacéuticas e clinicas privadas). Além disso, mesmo que o grupo fornega descriptografia gratuita para uma entidade afetada, o processo de recuperacao ainda pode levar dias, semanas ou meses para ser concluido. Esse nivel de interrupcao pode ter um impacto significativo na sade do paciente. Como o ALPHV se espalha? hitps:luwncemsisot. comientblog/4093"ransomware-profle-alphu! 5105102/2023 23:08 Perf de ransomuare: ALPHY Os ataques ALPHV comegam violando a rede de destino. Os afiliados podem usar uma variedade de métodos para infectar 0 sistema de destino, incluindo RDP comprometido, ataques de phishing, credenciais roubadas e exploragao de vulnerabilidades conhecidas. Depois que o sistema for comprometido, os invasores podem usar varias ferramentas para preparar o ambiente para criptografia e maximizar 0 impacto do ataque. Ferramentas como Mimikatz, LaZagne e WebBrowserPassView sao usadas para acessar senhas salvas, que permitem que os agentes de ameacas aumentem os privilégios e se espalhem lateralmente pela rede. O MEGAsync é frequentemente usado para exfiltrar dados, enquanto ferramentas anti-forenses como 0 File Shredder as vezes sdo usadas para excluir arquivos com seguranc¢a e impedir a andlise. O PowerShell geralmente é usado para modificar as configuragées de seguranca do Windows Defender e as cdpias de volume de sombra sao excluidas antes da criptografia para impedir que as organizagG6es restaurem arquivos criptografados. O ALPHV requer um token de acesso especifico para que o ransomware seja executado corretamente. O token de acesso funciona como uma chave Unica, que é usada para verificar a identificagdo da vitima e deve ser fornecida ao acessar 0 site de pagamento ALPHV .onion. O token de acesso impede que terceiros (como pesquisadores de ransomware) invadam o que deveria ser uma negociacao privada entre a vitima e o invasor. Como o ALPHV opera como um Raa& e pode ser distribuido por muitas afiliadas diferentes, a anatomia exata de um ataque pode variar de incidente para incidente. Grandes ataques ALPHV ™ Oiltanking : No final de novembro de 2021, a distribuidora de gasolina alem4 Oiltanking GmbH foi vitima de um ataque ALPHV. O incidente afetou 13 terminais de combustiveis, incluindo os sistemas hitps:luwncemsisot. comientblog/4093"ransomware-profle-alphu! ano5102/2023 23:08 Perf de ransomuare: ALPHY automatizados responsaveis pela carga e descarga dos tanques de combustivel, e obrigou a empresa a recorrer a processos manuais. Mais de 200 postos de gasolina, localizados principalmente no norte da Alemanha, foram afetados durante 0 ataque. = Swissport : Em fevereiro de 2022, a Swissport, fornecedora lider mundial de servicos terrestres e manuseio de carga para a industria da aviacao, foi supostamente atingida por ALPHV. O grupo postou em seu site de vazamento de dados uma pequena amostra de arquivos que aparentemente foram roubados durante o ataque, incluindo passaportes, anotagdes comerciais internas e informagées pessoais de candidatos a empregos. O grupo também se ofereceu para vender todo o conjunto de dados roubados de 1,6 TB. Como proteger a rede do ALPHV e outros ransomwares As praticas a seguir podem ajudar as organizagées a reduzir o risco de um incidente ALPHV. = Treinamento de conscientizagado sobre seguranga cibernética : como a maioria dos ransomwares se espalha por meio de ac6es iniciadas pelo usuario, as organizagées devem implementar iniciativas de treinamento que se concentrem em ensinar aos usuarios finais os fundamentos da seguranga cibernética. Os métodos de ransomware e propagacao estao em constante evolugio, portanto, o treinamento deve ser um processo continuo para garantir que os usuarios finais estejam protegidos contra as ameagas atuais. ™ Higiene de credenciais : Praticar uma boa higiene de credenciais pode ajudar a prevenir ataques de forca bruta, atenuar os efeitos do roubo de credenciais e reduzir 0 risco de acesso nao autorizado a rede. = Autenticagdo multifator : o MFA fornece uma camada extra de seguranca que pode ajudar a impedir o acesso nao autorizado a hitps:luwncemsisot. comientblog/4093"ransomware-profle-alphu! m05102/2023 23:08 Perf de ransomuare: ALPHY contas, ferramentas, sistemas e repositérios de dados. As organizagées devem considerar habilitar o MFA sempre que possivel. m Patches de seguranca : organizacées de todos os tamanhos devem ter uma estratégia robusta de gerenciamento de patches que garanta que as atualizagdes de seguranca em todos os endpoints, servidores e dispositivos sejam aplicadas o mais rapido possivel para minimizar a janela de oportunidade para um ataque. = Backups : os backups sao uma das formas mais eficazes de mitigar os efeitos de um incidente de ransomware. Muitos tipos de ransomware podem se espalhar lateralmente pela rede e criptografar backups armazenados localmente, portanto, as organizacées devem usar uma mistura de armazenamento de midia e armazenar cépias de backup dentro e fora do local. Consulte este guia para obter mais informagées sobre como criar backups a prova de ransomware . = Endurecimento do sistema : Fortalecer redes, servidores, sistemas operacionais e aplicativos é crucial para reduzir a superficie de ataque e gerenciar possiveis vulnerabilidades de seguranga. Desativar servicos desnecessarios e potencialmente exploraveis, como PowerShell, RDP, Windows Script Host, macros do Microsoft Office, etc. reduz o risco de infecgao inicial, enquanto a implementagao do principio do privilégio minimo pode ajudar a evitar movimentos laterais. ™ Bloquear macros : muitas familias de ransomware sao fornecidas por meio de documentos PDF ou do Microsoft Office incorporados a macros. As organizagées devem revisar 0 uso de macros, considerar 0 bloqueio de todas as macros da Internet e permitir que apenas macros examinadas e aprovadas sejam executadas em locais confiaveis. = Autenticagdo de e-mail : as organizagées podem usar uma variedade de técnicas de autenticagao de e-mail, como Sender Policy Framework, DomainKeys Identified Mail e Autenticagaéo de mensagem baseada em dominio, relatérios e conformidade para detectar falsificagao de e- mail e identificar mensagens suspeitas. hitps:luwncemsisot. comientblog/4093"ransomware-profle-alphu! ano5102/2023 23:08 Perf de ransomuare: ALPHY m™ Segregacdo de rede : a segregacao de rede eficaz ajuda a conter incidentes, evita a propagacgdo de malware e reduz a interrupcdo dos negocios em geral. ™ Monitoramento de rede : organizagées de todos os tamanhos devem ter sistemas para monitorar possiveis canais de exfiltragao de dados e responder imediatamente a atividades suspeitas. ™ Teste de penetragdo : 0 teste de penetragao pode ser util para revelar vulnerabilidades na infraestrutura de TI e a suscetibilidade dos funcionarios a ransomware. Os resultados do teste podem ser usados para alocar recursos de TI e informar futuras decisdes de seguranca cibernética. ™ Plano de resposta a incidentes : as organizagdes devem ter um plano abrangente de resposta a incidentes que detalhe exatamente 0 que fazer em caso de infecgdo. Uma resposta rapida pode ajudar a impedir que o malware se espalhe, minimizar a interrup¢do e garantir que o incidente seja corrigido da forma mais eficiente possivel. Como remover o ALPHV e outros ransomwares O ALPHV usa métodos de criptografia que atualmente impossibilitam a descriptografia de dados sem pagar por uma ferramenta de descriptografia fornecida pelo invasor. As vitimas de ALPHV devem estar preparadas para restaurar seus sistemas a partir de backups, usando processos que devem ser definidos no plano de resposta a incidentes da organizacao. As seguintes acdes sao recomendadas: ™ Tome medidas para conter a ameaga. ™ Determine a extensdo da infecgao. ™ Identifique a fonte da infecgao. hitps:luwncemsisot. comientblog/4093"ransomware-profle-alphu! sno0510212028 23:06 Perf de ransomware: ALPHV = Colete evidéncias. ™ Restaure o sistema a partir dos backups. ™ Certifique-se de que todos os dispositivos na rede estejam limpos. ™ Realize uma andlise forense abrangente para determinar 0 vetor de ataque, o escopo do incidente e a extensdo da exfiltragdo de dados. ™ Identifique e fortaleca as vulnerabilidades para reduzir 0 risco de um incidente repetido. CO) Senan Conrad Como um entusiasta da seguranca cibernética, Senan se especializou em eo fornecer aos leitores informagées sobre o mundo em constante mudanga do malware e, em particular, a cena do ransomware. Quando ele nao esta digitando em seu teclado, vocé pode pegar Senan tomando um bom café ou mexendo em sua oficina. hitps:luwncemsisot. comientblog/4093"ransomware-profle-alphu! 10110