マルチデバイス ライセンス(ボリューム ディスカウント)
Threat Database Ransomware ALPHV Ransomware

ALPHV Ransomware

RansomwareMezoまで
翻訳内容:
日本語

ALPHVランサムウェアは、このタイプの最も高度な脅威の1つであるように思われるため、それを解放する責任がある脅威の操作も同様です。この特定のランサムウェアの脅威は、BlackCatの名前で追跡しているinfosecの研究者によって発見されました。この脅威は高度にカスタマイズ可能であり、技術に精通していないサイバー犯罪者でもその機能を調整し、多数のプラットフォームに対して攻撃を仕掛けることができます。

ALPHVの運用

ALPHVランサムウェアは、ロシア語を話すハッカーフォーラムでその作成者によって宣伝されています。この脅威は、RaaS(Ransomware-as-a-Service)スキームで提供されているようで、マルウェアのオペレーターは、実際の攻撃やネットワーク侵害を実行する意欲的なアフィリエイトを募集しようとしています。その後、身代金として被害者から受け取ったお金は、関係者間で分配されます。

ALPHVの作成者が取ったパーセンテージは、身代金の正確な合計に基づいています。 150万ドルに達する身代金の支払いについては、資金の20%を保持し、150万ドルから300万ドルの間の支払いについては、15%の削減を受けます。アフィリエイトが300万ドル以上の身代金を受け取ることができた場合、そのお金の90%を保持することが許可されます。

攻撃キャンペーンは、少なくとも2021年11月以降、活発に行われていると考えられています。これまでのところ、ALPHVランサムウェアの被害者は、米国、オーストラリア、インドで確認されています。

技術的な詳細

ALPHVランサムウェアは、Rustプログラミング言語を使用して作成されています。さびはマルウェア開発者の間では一般的な選択ではありませんが、その特性のために勢いを増しています。この脅威は、強力な一連の侵入機能を備えています。攻撃者の好みに基づいて、4つの異なる暗号化ルーチンを実行できます。また、CHACHA20とAESの2つの異なる暗号化アルゴリズムを使用します。ランサムウェアは仮想環境をスキャンし、それらを強制終了しようとします。また、ESXiスナップショットを自動的にワイプして、リカバリを防ぎます。

可能な限り多くの損害を与えるために、ALPHVは、たとえばターゲットファイルを開いたままにすることによって、暗号化を妨げる可能性のあるアクティブなアプリケーションのプロセスを強制終了できます。この脅威は、Veeam、バックアップソフトウェア製品、Microsoft Exchange、MS Office、メールクライアント、人気のあるビデオゲームストアSteam、データベースサーバーなどのプロセスを終了させる可能性があります。さらに、ALPHV Ransomwareは、被害者のファイルのシャドウボリュームコピーを削除します。システムのリサイクルビンをクリーンアップし、他のネットワークデバイスをスキャンして、Microsoftクラスターへの接続を試みます。

適切なドメインクレデンシャルで構成されている場合、ALPHVは、侵害されたネットワークに接続されている他のデバイスに自分自身を拡散することさえできます。脅威はPSExecを%Temp%フォルダーに抽出してから、ペイロードを他のデバイスにコピーします。その間、攻撃者はコンソールベースのユーザーインターフェイスを介して感染の進行状況を監視できます。

身代金メモと要求

アフィリエイトは、好みに応じて脅威を変更できます。使用するファイル拡張子、身代金メモ、被害者のデータの暗号化方法、除外するフォルダやファイル拡張子などをカスタマイズできます。身代金メモ自体は、「RECOVER- [extension] -FILES.txt」というパターンに従った名前のテキストファイルとして配信されます。身代金のメモは、各犠牲者に合わせて調整されます。これまでのところ、被害者はビットコインまたはモネロの暗号通貨を使用してハッカーに支払うことができると指示されています。ただし、ビットコインの支払いの場合、ハッカーは15%の税金を追加します。

一部の身代金メモには、専用のTORリークサイトへのリンクと、攻撃者と連絡を取るための別のサイトへのリンクも含まれています。実際、ALPHVは複数の恐喝戦術を使用して、被害者に、そこに保存されているデータを暗号化する前に、感染したデバイスから重要なファイルを収集するサイバー犯罪者に支払いをさせています。彼らの要求が満たされない場合、ハッカーは情報を一般に公開すると脅迫します。被害者はまた、支払いを拒否するとDDoS攻撃を受けることになると警告されています。

被害者との交渉を非公開にし、サイバーセキュリティの専門家が詮索するのを防ぐために、ALPHVオペレーターは--access-token = [access_token]コマンドライン引数を実装しました。トークンは、ハッカーのTORWebサイトでネゴシエーションチャット機能に入るのに必要なアクセスキーの作成に使用されます。

ALPHVランサムウェアは、非常に高度な機能と複数のオペレーティングシステムに感染する機能を備えた非常に有害な脅威です。これは、すべてのWindows 7システム以降、ESXI、Debian、Ubuntu、ReadyNAS、およびSynologyで実行できます。

トレンド

Safe Search Eng

Potentially Unwanted Programs, Browser Hijackers
Safe Search Eng は、ユーザーの Web ブラウザの検索機能を操作し、検索を望まない検索エンジンにリダイレクトするブラウザ拡張機能の一種です。ブラウザ ハイジャッカーとして知られるこの侵入的なソフトウェアは、ブラウザのデフォルトの検索エンジン設定を変更し、代わりにsafesearcheng.comを使用するように強制します。 Safe Search Eng のようなブラウザ ハ...

MarioLockerランサムウェア

Ransomware
MarioLocker Ransomwareは、最近マルウェアの専門家によって発見された新しいランサムウェアの脅威です。この新しいデータ暗号化トロイの木馬は、人気のあるランサムウェアファミリのいずれにも属していないようです。この種のほとんどの脅威と同様に、MarioLockerランサムウェアはシステムを危険にさらし、一般的なファイルタイプを探し、暗号化アルゴリズムを適用して標的のデータをロッ...

私の壁紙

Browser Hijackers
コンピューター ユーザーは、オンライン エクスペリエンスを向上させるために設計されたさまざまなソフトウェアやアプリケーションに遭遇することがよくあります。ただし、すべてのソフトウェアが善意を持って作成されているわけではなく、完全に安全ではないソフトウェアもあります。そのような例の 1 つは、MyWallPaper として知られるブラウザ ハイジャッカーです。 この記事では、MyWallPap...

最も見られました

Lookmovie.io は安全ですか?スクリーンショット

Lookmovie.io は安全ですか?

Issue
29,132
Lookmovie.io は動画ストリーミング サイトです。問題は、コンテンツが違法にストリーミング配信されていることです。さらに、このサイトは不正な広告ネットワークを介して金銭的利益を生み出しています。その結果、ユーザーには疑わしい広告が表示されたり、Web ブラウザーで疑わしい Web サイトが開かれたりすることがよくあります。 実際には、違法に提供されたコンテンツを無視すれば、サイト自...

「プリンタドライバが利用できません」エラーを修正する方法

Issue
23,621
プリンターは、ユーザーが最も必要としているときにいつでもジョブを実行することを拒否することで有名です。幸いなことに、お使いのプリンターに「プリンター ドライバーは使用できません」というエラーが表示されている場合は、問題を解決できる簡単な解決策がいくつかあります。この特定のエラーは、破損したドライバー ファイル、古いドライバー、またはドライバーの非互換性が原因である可能性があります。 Micr...
画面を共有するとDiscordが黒い画面を表示するスクリーンショット

画面を共有するとDiscordが黒い画面を表示する

Issue
22,680
最初に立ち上げられたとき、Discord はゲーム コミュニティ向けの VoIP プラットフォームでした。しかし、その後数年間でその範囲を拡大し、多数の新機能を追加し、最大のソーシャル プラットフォームの 1 つになり、月間アクティブ ユーザー数は 1 億 4000 万人を超えました。現在、ユーザーはプライベート インスタント メッセージを送信したり、VoIP やビデオ通話を開始したり、コン...
読み込んでいます...