Найти в Дзене
Герман Геншин
19,7 тыс подписчиков

Alpha ransomware, связанная с операцией NetWalker, ликвидированной в 2021 году

7
2 мин
Исследователи безопасности, проанализировав полезную нагрузку и методы работы Alpha ransomware, обнаружили совпадения с ныне несуществующей операцией Netwalker по борьбе с вымогательством. Netwalker был плодовитый ransomware-as-a-service (RaaS), действовавшей с октября 2019 года по январь 2021 года, когда правоохранительные органы изъяли его сайты в темном интернетев результате чего ее операторы замолчали. Операция Alpha ransomware (не путать с ALPHV/BlackCat) появилась в феврале 2023 года, но оставалась малоизвестной, не рекламировалась на хакерских форумах и не проводила много атак. Ситуация изменилась недавно, когда группа запустила сайт утечки данных, на котором перечислялись жертвы и публиковались файлы, украденные из взломанных сетей. На момент написания статьи на портале вымогателей Alpha указаны девять жертв, и для восьми из них угрожающий агент уже опубликовал украденные файлы. A В отчете Neterich от 29 января говорится, что Alpha постепенно становится все более изощренной. В

Исследователи безопасности, проанализировав полезную нагрузку и методы работы Alpha ransomware, обнаружили совпадения с ныне несуществующей операцией Netwalker по борьбе с вымогательством.

Netwalker был плодовитый ransomware-as-a-service (RaaS), действовавшей с октября 2019 года по январь 2021 года, когда правоохранительные органы изъяли его сайты в темном интернетев результате чего ее операторы замолчали.

Операция Alpha ransomware (не путать с ALPHV/BlackCat) появилась в феврале 2023 года, но оставалась малоизвестной, не рекламировалась на хакерских форумах и не проводила много атак.

Ситуация изменилась недавно, когда группа запустила сайт утечки данных, на котором перечислялись жертвы и публиковались файлы, украденные из взломанных сетей.

На момент написания статьи на портале вымогателей Alpha указаны девять жертв, и для восьми из них угрожающий агент уже опубликовал украденные файлы.

Вымогательский сайт Alpha (BleepingCompouter)
Вымогательский сайт Alpha (BleepingCompouter)

A В отчете Neterich от 29 января говорится, что Alpha постепенно становится все более изощренной.

В последней версии вымогатель добавляет к зашифрованным файлам случайное 8-символьное буквенно-цифровое расширение.

Кроме того, после многочисленных итераций записок с выкупом последняя версия включает инструкции для жертв, позволяющие связаться с агентом угрозы через службу обмена сообщениями.

По словам Нетерича, сумма выкупа варьируется от 0,272 BTC (13 200 долларов по сегодняшнему курсу) до 100 000 долларов, вероятно, в зависимости от размера бизнеса жертвы.

Ссылки на Netwalker

Сегодня был опубликован новый отчет аналитиков угроз компании Symantec в котором аналитики связывают Alpha с исчезнувшей программой-вымогателем Netwalker, основываясь на инструментах, тактике, методах и процедурах, используемых в атаках.

Symantec выделяет следующие ключевые сходства:

Использование пользовательских таблиц адресов импорта (Netwalker слева, Alpha справа) (Symantec)
Использование пользовательских таблиц адресов импорта (Netwalker слева, Alpha справа) (Symantec)
Сравнение порталов (NetWalker слева, Alpha справа) (Symantec).
Сравнение порталов (NetWalker слева, Alpha справа) (Symantec).

Symantec также сообщает, что в последних атаках Alpha для уклонения широко используются "живые" инструменты, включая Taskkill, PsExec, Net.exe и Reg.exe. Однако это характерно для многих банд вымогателей.

Вышеуказанные сходства указывают на тесную связь между NetWalker и разработчиками Alpha, что может означать либо возрождение NetWalker под брендом Alpha, либо повторное использование его кода новой группой угроз.

Symantec отмечает, что новый злоумышленник мог приобрести полезную нагрузку NetWalker и адаптировать ее для своих операций с выкупным ПО.

Хотя в настоящее время Alpha не является значимым игроком на арене ransomware, она рассматривается как новая угроза, за которой организациям следует следить.

Гаджеты и электроника
5,73 млн интересуются