Une nouvelle opération de ransomware appelée RedAlert, ou N13V, crypte les serveurs Windows et Linux VMWare ESXi lors d’attaques sur les réseaux d’entreprise.
La nouvelle opération a été découverte aujourd’hui par MalwareHunterTeam, qui a tweeté diverses images du site de fuite de données du gang.
Le ransomware a été appelé “RedAlert” sur la base d’une chaîne utilisée dans la note de rançon. Cependant, à partir d’un chiffreur Linux obtenu par BleepingComputer, les pirates appellent leur opération “N13V” en interne, comme indiqué ci-dessous.
Le chiffreur Linux est créé pour cibler les serveurs VMware ESXi, avec des options de ligne de commande qui permettent aux pirates d’arrêter toutes les machines virtuelles en cours d’exécution avant de chiffrer les fichiers.
La liste complète des options de ligne de commande peut être consultée ci-dessous.
-w Run command for stop all running VM`s
-p Path to encrypt (by default encrypt only files in directory, not include subdirectories)
-f File for encrypt
-r Recursive. used only with -p ( search and encryption will include subdirectories )
-t Check encryption time(only encryption, without key-gen, memory allocates ...)
-n Search without file encryption.(show ffiles and folders with some info)
-x Asymmetric cryptography performance tests. DEBUG TESTS
-h Show this message
Lors de l’exécution du ransomware avec le ‘-w
‘, le chiffreur Linux arrêtera toutes les machines virtuelles VMware ESXi en cours d’exécution à l’aide de la commande esxcli suivante :
esxcli --formatter=csv --format-param=fields=="WorldID,DisplayName" vm process list | tail -n +2 | awk -F $',' '{system("esxcli vm process kill --type=force --world-id=" $1)}'
Lors du cryptage des fichiers, le rançongiciel utilise le Chiffrement NTRU algorithme de chiffrement à clé publique, qui prend en charge divers « ensembles de paramètres » offrant différents niveaux de sécurité.
Une fonctionnalité intéressante de RedAlert/N13V est l’option de ligne de commande ‘-x’ qui effectue des ‘tests de performance de cryptographie asymétrique’ à l’aide de ces différents ensembles de paramètres NTRUEncrypt. Cependant, il n’est pas clair s’il existe un moyen de forcer un ensemble de paramètres particulier lors du cryptage et/ou si le ransomware en sélectionnera un plus efficace.
La seule autre opération de ransomware connue pour utiliser cet algorithme de chiffrement est Cinq Mains.
Lors du chiffrement des fichiers, le rançongiciel ne ciblera que les fichiers associés aux machines virtuelles VMware ESXi, y compris les fichiers journaux, les fichiers d’échange, les disques virtuels et les fichiers de mémoire, comme indiqué ci-dessous.
.log
.vmdk
.vmem
.vswp
.vmsn
Dans l’échantillon analysé par BleepingComputer, le rançongiciel chiffrerait ces types de fichiers et ajouterait le .crypt658 extension aux noms de fichiers des fichiers cryptés.
Dans chaque dossier, le ransomware créera également une note de rançon personnalisée nommée HOW_TO_RESTOREqui contient une description des données volées et un lien vers un site unique de paiement de rançon TOR pour la victime.
Le site de paiement Tor est similaire aux autres sites d’exploitation de rançongiciels car il affiche la demande de rançon et offre un moyen de négocier avec les acteurs de la menace.
Cependant, RedAlert/N13V n’accepte que la crypto-monnaie Monero pour le paiement, qui n’est pas couramment vendue dans les échanges cryptographiques aux États-Unis car il s’agit d’une pièce de confidentialité.
Alors que seul un chiffreur Linux a été trouvé, le site de paiement comporte des éléments cachés montrant que des décrypteurs Windows existent également.
“Conseil de la honte”
Comme presque toutes les nouvelles opérations de ransomware ciblant les entreprises, RedAlert mène des attaques à double extorsion, c’est-à-dire lorsque des données sont volées, puis un ransomware est déployé pour chiffrer les appareils.
Cette tactique fournit deux méthodes d’extorsion, permettant aux acteurs de la menace non seulement d’exiger une rançon pour recevoir un décrypteur, mais également d’en exiger une pour empêcher la fuite de données volées.
Lorsqu’une victime ne paie pas une demande de rançon, le gang RedAlert publie des données volées sur son site de fuite de données que n’importe qui peut télécharger.
Actuellement, le site de fuite de données RedAlert ne contient que les données d’une seule organisation, ce qui indique que l’opération est très nouvelle.
Bien qu’il n’y ait pas eu beaucoup d’activité avec la nouvelle opération de ransomware N13V/RedAlert, c’est une opération sur laquelle nous devrons certainement garder un œil en raison de ses fonctionnalités avancées et de sa prise en charge immédiate pour Linux et Windows.