Xakep #305. Многошаговые SQL-инъекции
Исследователи обнаружили нового шифровальщика RedAlert (он же N13V), который шифрует серверы Windows и Linux VMWare ESXi и нацелен на корпоративные сети.
Первым нового вредоноса заметил ИБ-эксперт MalwareHunterTeam, который опубликовал в Twitter скриншоты с даркнет-сайта группировки. Вымогатель получил имя RedAlert из-за строки, которую хакеры использовали в записке с требованием выкупа. Сами злоумышленники называют свою малварь N13V, пишет издание Bleeping Computer.
Сообщается, что Linux-версия шифровальщика ориентирована на серверы VMware ESXi и позволяет злоумышленникам выключать любые активные виртуальные машины перед шифрованием файлов.
Исследователи говорят, что во время шифрования файлов вымогатель использует алгоритм NTRUEncrypt , который поддерживает различные «наборы параметров», обеспечивающие разные уровни безопасности. Отмечается, что помимо RedAlert этот алгоритм использует только шифровальщик FiveHands .
Еще одной интересной особенностью RedAlert является параметр командной строки «-x», который отвечает за «тестирование производительности асимметричного шифрования» с использованием различных наборов параметров. Пока неясно, существует ли способ принудительно установить определенный параметр при шифровании, или вымогатель самостоятельно выбирает наиболее эффективный.
Во время шифрования файлов малварь нацеливается только на файлы, связанные с виртуальными машинами VMware ESXi, в том числе файлы журналов, подкачки, виртуальные диски и так далее: .log, .vmdk, .vmem, .vswp и .vmsn. К этим файлам вредонос добавляет расширение .crypt[число].
Платежный сайт, на который жертв отправляют посредством записки с требованием выкупа, в целом похож на сайты других вымогателей: он отображает требование выкупа и позволяет вести переговоры сл злоумышленниками. При этом хакеры подчеркивают, что принимают к оплате только криптовалюту Monero.
Хотя специалистами обнаружили только шифровальщик, нацеленный на Linux, на сайте группировки присутствуют скрытые элементы, судя по которым, дешифровщики для Windows тоже существуют.
Пока на сайте RedAlert размещены данные только одной атакованной организации, то есть малварь еще только начинает свою «работу».