Исследователи безопасности, проанализировав полезную нагрузку и методы работы Alpha ransomware, обнаружили совпадения с ныне несуществующей операцией Netwalker по борьбе с вымогательством.
Netwalker был плодовитый ransomware-as-a-service (RaaS), действовавшей с октября 2019 года по январь 2021 года, когда правоохранительные органы изъяли его сайты в темном интернетев результате чего ее операторы замолчали.
Операция Alpha ransomware (не путать с ALPHV/BlackCat) появилась в феврале 2023 года, но оставалась малоизвестной, не рекламировалась на хакерских форумах и не проводила много атак.
Ситуация изменилась недавно, когда группа запустила сайт утечки данных, на котором перечислялись жертвы и публиковались файлы, украденные из взломанных сетей.
На момент написания статьи на портале вымогателей Alpha указаны девять жертв, и для восьми из них угрожающий агент уже опубликовал украденные файлы.
A В отчете Neterich от 29 января говорится, что Alpha постепенно становится все более изощренной.
В последней версии вымогатель добавляет к зашифрованным файлам случайное 8-символьное буквенно-цифровое расширение.
Кроме того, после многочисленных итераций записок с выкупом последняя версия включает инструкции для жертв, позволяющие связаться с агентом угрозы через службу обмена сообщениями.
По словам Нетерича, сумма выкупа варьируется от 0,272 BTC (13 200 долларов по сегодняшнему курсу) до 100 000 долларов, вероятно, в зависимости от размера бизнеса жертвы.
Ссылки на Netwalker
Сегодня был опубликован новый отчет аналитиков угроз компании Symantec в котором аналитики связывают Alpha с исчезнувшей программой-вымогателем Netwalker, основываясь на инструментах, тактике, методах и процедурах, используемых в атаках.
Symantec выделяет следующие ключевые сходства:
Symantec также сообщает, что в последних атаках Alpha для уклонения широко используются "живые" инструменты, включая Taskkill, PsExec, Net.exe и Reg.exe. Однако это характерно для многих банд вымогателей.
Вышеуказанные сходства указывают на тесную связь между NetWalker и разработчиками Alpha, что может означать либо возрождение NetWalker под брендом Alpha, либо повторное использование его кода новой группой угроз.
Symantec отмечает, что новый злоумышленник мог приобрести полезную нагрузку NetWalker и адаптировать ее для своих операций с выкупным ПО.
Хотя в настоящее время Alpha не является значимым игроком на арене ransomware, она рассматривается как новая угроза, за которой организациям следует следить.