Các nhà nghiên cứu bảo mật khi phân tích payload và phương thức hoạt động của ransomware Alpha đã phát hiện ra sự trùng lặp với hoạt động của ransomware Netwalker hiện không còn tồn tại.
Netwalker là một loại ransomware dưới dạng dịch vụ (RaaS) hoạt động mạnh mẽ từ tháng 10 năm 2019 đến tháng 1 năm 2021, khi cơ quan thực thi pháp luật tịch thu các trang web đen đã khiến các nhà khai thác phải im hơi lặng tiếng.
Hoạt động ransomware Alpha (đừng nhầm với ALPHV/BlackCat) xuất hiện vào tháng 2 năm 2023 nhưng hoạt động kín tiếng, không quảng bá trên các diễn đàn hacker và những kẻ điều hành nó cũng không thực hiện nhiều cuộc tấn công.
Điều này đã thay đổi gần đây khi nhóm này tung ra một trang web rò rỉ dữ liệu để liệt kê các nạn nhân và xuất bản các tệp bị đánh cắp từ các mạng bị tấn công.
Tại thời điểm viết bài, Alpha hiển thị chín nạn nhân trên cổng tống tiền của mình và tám nạn nhân trong số đó, kẻ đe dọa đã công bố các tập tin bị đánh cắp.
Trang web tống tiền của Alpha (BleepingCompouter)
Báo cáo của Neterich ngày 29/1 cho biết Alpha đã dần phát triển tinh vi hơn.
Trong phiên bản mới nhất, ransomware gắn thêm phần mở rộng ngẫu nhiên gồm 8 ký tự chữ và số vào các tệp được mã hóa.
Ngoài ra, sau nhiều lần ghi chú đòi tiền chuộc, phiên bản mới nhất bao gồm hướng dẫn nạn nhân liên hệ với kẻ đe dọa qua dịch vụ nhắn tin.
Nhu cầu tiền chuộc được báo cáo, theo Neterich, dao động trong khoảng từ 0,272 BTC (13.200 USD theo tỷ giá hối đoái ngày nay) đến 100.000 USD, có thể tùy thuộc vào quy mô kinh doanh của nạn nhân.
Liên kết tới Netwalker
Một báo cáo mới được các nhà phân tích mối đe dọa của Symantec đã công bố liên kết Alpha với phần mềm ransomware Netwalker không còn tồn tại, dựa trên các công cụ và chiến thuật, kỹ thuật và quy trình được sử dụng trong các cuộc tấn công.
Những điểm tương đồng chính mà Symantec nổi bật bao gồm:
- Cả ransomware Netwalker và Alpha đều sử dụng trình tải dựa trên PowerShell tương tự để phân phối payload của chúng.
- Sự chồng chéo mã đáng kể trong tải trọng, bao gồm luồng thực thi chung của các chức năng chính, việc chấm dứt các quy trình và dịch vụ cũng như những điểm tương đồng trong việc gọi API hệ thống.
Sử dụng bảng địa chỉ nhập tùy chỉnh (Netwalker bên trái, Alpha bên phải) (Symantec)
- Sự tương đồng về cấu hình trong danh sách các thư mục, tệp và tiện ích mở rộng bị bỏ qua, cũng như các quy trình và dịch vụ sẽ bị loại bỏ.
- Cả hai đều tự xóa bằng tập tin batch (.bat) tạm thời sau khi hoàn tất quá trình mã hóa.
- Cổng thanh toán cho cả Netwalker và Alpha đều chứa cùng một thông báo: “Để nhập, vui lòng sử dụng mã người dùng.”
So sánh các cổng (NetWalker bên trái, Alpha bên phải) (Symantec)
Symantec cũng cho biết các cuộc tấn công Alpha gần đây sử dụng rộng rãi các công cụ thực tế, bao gồm Taskkill, PsExec, Net.exe và Reg.exe để trốn tránh. Tuy nhiên, điều này là phổ biến đối với nhiều nhóm ransomware.
Những điểm tương đồng trên cho thấy mối liên kết chặt chẽ giữa NetWalker và các lập trình viên của Alpha, điều này có thể có nghĩa là sự hồi sinh của NetWalker dưới thương hiệu Alpha hoặc mã của nó đang được một nhóm đe dọa mới sử dụng lại.
Symantec lưu ý rằng kẻ tấn công mới có thể đã lấy được payload NetWalker và điều chỉnh cho hoạt động ransomware của chúng.
Mặc dù hiện tại nó không phải là nhân tố quan trọng trong tấn công ransomware nhưng Alpha được coi là một mối đe dọa mới nổi mà các tổ chức nên đề phòng.
Nguồn: bleepingcomputer.com
Vina Aspire là nhà cung cấp các giải pháp, dịch vụ CNTT, An ninh mạng, bảo mật & an toàn thông tin tại Việt Nam. Đội ngũ của Vina Aspire gồm những chuyên gia, cộng tác viên giỏi, có trình độ, kinh nghiệm và uy tín cùng các nhà đầu tư, đối tác lớn trong và ngoài nước chung tay xây dựng.
Các Doanh nghiệp, tổ chức có nhu cầu liên hệ Công ty Vina Aspire theo thông tin sau:
Email: info@vina-aspire.com | Tel: +84 944 004 666 | Fax: +84 28 3535 0668 | Website: www.vina-aspire.com
Vina Aspire – Vững bảo mật, trọn niềm tin
Nguồn : https://www.john-partners.us/phan-mem-tong-tien-alpha-lien-quan-den-hoat-dong-netwalker-da-bi-loai-bo-tu-nam-2021
