Nouvelles Du Monde

Le nouveau RedAlert Ransomware cible les serveurs Windows, Linux VMware ESXi

Le nouveau RedAlert Ransomware cible les serveurs Windows, Linux VMware ESXi

Une nouvelle opération de ransomware appelée RedAlert, ou N13V, crypte les serveurs Windows et Linux VMWare ESXi lors d’attaques sur les réseaux d’entreprise.

La nouvelle opération a été découverte aujourd’hui par MalwareHunterTeam, qui a tweeté diverses images du site de fuite de données du gang.

Le ransomware a été appelé “RedAlert” sur la base d’une chaîne utilisée dans la note de rançon. Cependant, à partir d’un chiffreur Linux obtenu par BleepingComputer, les pirates appellent leur opération “N13V” en interne, comme indiqué ci-dessous.

Options de ligne de commande du rançongiciel RedAlert / N13V
Options de ligne de commande du rançongiciel RedAlert / N13V
La source: BleepingComputer

Le chiffreur Linux est créé pour cibler les serveurs VMware ESXi, avec des options de ligne de commande qui permettent aux pirates d’arrêter toutes les machines virtuelles en cours d’exécution avant de chiffrer les fichiers.

La liste complète des options de ligne de commande peut être consultée ci-dessous.

-w	 Run command for stop all running VM`s
-p	 Path to encrypt (by default encrypt only files in directory, not include subdirectories)
-f	 File for encrypt
-r	 Recursive. used only with -p ( search and encryption will include subdirectories )
-t	 Check encryption time(only encryption, without key-gen, memory allocates ...)
-n	 Search without file encryption.(show ffiles and folders with some info)
-x	 Asymmetric cryptography performance tests. DEBUG TESTS
-h	 Show this message

Lors de l’exécution du ransomware avec le ‘-w‘, le chiffreur Linux arrêtera toutes les machines virtuelles VMware ESXi en cours d’exécution à l’aide de la commande esxcli suivante :

esxcli --formatter=csv --format-param=fields=="WorldID,DisplayName" vm process list | tail -n +2 | awk -F $',' '{system("esxcli vm process kill --type=force --world-id=" $1)}'

Lors du cryptage des fichiers, le rançongiciel utilise le Chiffrement NTRU algorithme de chiffrement à clé publique, qui prend en charge divers « ensembles de paramètres » offrant différents niveaux de sécurité.

Lire aussi  Trois hommes arrêtés après avoir filmé une agression violente contre un sans-abri dans le comté de Randolph – My Buckhannon

Une fonctionnalité intéressante de RedAlert/N13V est l’option de ligne de commande ‘-x’ qui effectue des ‘tests de performance de cryptographie asymétrique’ à l’aide de ces différents ensembles de paramètres NTRUEncrypt. Cependant, il n’est pas clair s’il existe un moyen de forcer un ensemble de paramètres particulier lors du cryptage et/ou si le ransomware en sélectionnera un plus efficace.

La seule autre opération de ransomware connue pour utiliser cet algorithme de chiffrement est Cinq Mains.

Test de vitesse de chiffrement NTRUEncrypt ​​​​​​​
Test de vitesse de cryptage NTRUEncrypt
La source: BleepingComputer

Lors du chiffrement des fichiers, le rançongiciel ne ciblera que les fichiers associés aux machines virtuelles VMware ESXi, y compris les fichiers journaux, les fichiers d’échange, les disques virtuels et les fichiers de mémoire, comme indiqué ci-dessous.

.log
.vmdk
.vmem
.vswp
.vmsn

Dans l’échantillon analysé par BleepingComputer, le rançongiciel chiffrerait ces types de fichiers et ajouterait le .crypt658 extension aux noms de fichiers des fichiers cryptés.

Crypter des fichiers sous Linux avec RedAlert
Crypter des fichiers sous Linux avec RedAlert
La source: BleepingComputer

Dans chaque dossier, le ransomware créera également une note de rançon personnalisée nommée HOW_TO_RESTOREqui contient une description des données volées et un lien vers un site unique de paiement de rançon TOR pour la victime.

Alerte rouge / note de rançon N13V
Alerte rouge / note de rançon N13V
La source: BleepingComputer

Le site de paiement Tor est similaire aux autres sites d’exploitation de rançongiciels car il affiche la demande de rançon et offre un moyen de négocier avec les acteurs de la menace.

Lire aussi  Paolla Oliveira dépasse les limites de la beauté avec un nouveau selfie et remporte des éloges

Cependant, RedAlert/N13V n’accepte que la crypto-monnaie Monero pour le paiement, qui n’est pas couramment vendue dans les échanges cryptographiques aux États-Unis car il s’agit d’une pièce de confidentialité.

Site de négociation RedAlert / N13V Tor
Site de négociation RedAlert / N13V Tor
La source: BleepingComputer

Alors que seul un chiffreur Linux a été trouvé, le site de paiement comporte des éléments cachés montrant que des décrypteurs Windows existent également.

“Conseil de la honte”

Comme presque toutes les nouvelles opérations de ransomware ciblant les entreprises, RedAlert mène des attaques à double extorsion, c’est-à-dire lorsque des données sont volées, puis un ransomware est déployé pour chiffrer les appareils.

Cette tactique fournit deux méthodes d’extorsion, permettant aux acteurs de la menace non seulement d’exiger une rançon pour recevoir un décrypteur, mais également d’en exiger une pour empêcher la fuite de données volées.

Lorsqu’une victime ne paie pas une demande de rançon, le gang RedAlert publie des données volées sur son site de fuite de données que n’importe qui peut télécharger.

Site de fuite de données RedAlert/N13V
Site de fuite de données RedAlert / N13V
La source: BleepingComputer

Actuellement, le site de fuite de données RedAlert ne contient que les données d’une seule organisation, ce qui indique que l’opération est très nouvelle.

Lire aussi  Avertissement contre les champignons asiatiques : la liste des aliments déficients en Saxe s'allonge

Bien qu’il n’y ait pas eu beaucoup d’activité avec la nouvelle opération de ransomware N13V/RedAlert, c’est une opération sur laquelle nous devrons certainement garder un œil en raison de ses fonctionnalités avancées et de sa prise en charge immédiate pour Linux et Windows.

Facebook
Twitter
LinkedIn
Pinterest

Leave a Comment

This site uses Akismet to reduce spam. Learn how your comment data is processed.

ADVERTISEMENT