Actus

Le ransomware RedAlert cible les serveurs VMware ESXi Windows et Linux

Par hfrance , le 7 juillet 2022 - 4 minutes de lecture
Notez l'article

Un nouveau ransomware appelé RedAlert, ou N13V, chiffre les serveurs VMWare ESXi Windows et Linux lors d’attaques contre des réseaux d’entreprise.

Cette nouvelle opération a été découverte aujourd’hui par MalwareHunterTeam, qui a diffusé sur Twitter plusieurs images du site de fuite de données du gang.

Le ransomware a été appelé “RedAlert” en raison d’une chaîne de caractères utilisée dans la note de rançon.

Le crypteur Linux est créé pour cibler les serveurs VMware ESXi, avec des options de ligne de commande qui permettent aux acteurs de la menace d’arrêter toute machine virtuelle en cours d’exécution avant de crypter les fichiers.

Lorsque le ransomware est exécuté avec l’argument “-w”, l’encrypteur Linux arrête toutes les machines virtuelles VMware ESXi en cours d’exécution à l’aide de la commande esxcli suivante :

Lors du cryptage des fichiers, le ransomware utilise l’algorithme de cryptage à clé publique NTRUEncrypt, qui prend en charge différents “Parameter Sets” offrant différents niveaux de sécurité.

Une caractéristique intéressante de RedAlert/N13V est l’option de ligne de commande “-x” qui effectue des “tests de performance de cryptographie asymétrique” en utilisant ces différents jeux de paramètres NTRUEncrypt. Cependant, il n’est pas clair s’il existe un moyen de forcer un jeu de paramètres particulier lors du chiffrement et/ou si le ransomware en sélectionnera un plus efficace.

Le seul autre ransomware connu à utiliser cet algorithme de cryptage est FiveHands.

Lors du chiffrement des fichiers, le ransomware cible uniquement les fichiers associés aux machines virtuelles VMware ESXi, notamment les fichiers journaux, les fichiers d’échange, les disques virtuels et les fichiers de mémoire, comme indiqué ci-dessous.

Dans l’échantillon analysé par BleepingComputer, le ransomware crypte ces types de fichiers et ajoute l’extension.crypt[number] aux noms des fichiers cryptés.

Dans chaque dossier, le ransomware crée également une note de rançon personnalisée nommée HOW_TO_RESTORE, qui contient une description des données volées et un lien vers un site de paiement de rançon TOR unique pour la victime.

Le site de paiement Tor est similaire à d’autres sites d’exploitation de ransomware car il affiche la demande de rançon et offre un moyen de négocier avec les acteurs de la menace.

Cependant, RedAlert/N13V n’accepte que la crypto-monnaie Monero pour le paiement, qui n’est pas couramment vendue dans les échanges de crypto-monnaies aux États-Unis car il s’agit d’une monnaie privée.

Si seul un crypteur Linux a été trouvé, le site de paiement comporte des éléments cachés montrant que des décrypteurs Windows existent également.

Le “Board of Shame” (conseil de la honte)

Comme presque toutes les nouvelles opérations de ransomware ciblant les entreprises, RedAlert mène des attaques de double-extorsion, c’est-à-dire que les données sont volées, puis le ransomware est déployé pour chiffrer les appareils.

Cette tactique offre deux méthodes d’extorsion, permettant aux acteurs de la menace non seulement de demander une rançon pour recevoir un décrypteur, mais aussi d’en exiger une pour empêcher la fuite des données volées.

Lorsqu’une victime ne paie pas la demande de rançon, le gang RedAlert publie les données volées sur son site de fuite de données que tout le monde peut télécharger.

Actuellement, le site de fuite de données de RedAlert ne contient que les données d’une seule organisation, ce qui indique que l’opération est très récente.

Bien qu’il n’y ait pas eu beaucoup d’activité avec la nouvelle opération de ransomware N13V/RedAlert, c’est une opération que nous devrons certainement garder à l’œil en raison de sa fonctionnalité avancée et de son support immédiat pour Linux et Windows.

  • Kinguin Vmware Workstation 16 Pro Windows/Linux Lifetime License
    Créez et testez n'importe quelle plate-forme avec VMware Workstation! VMware Workstation Pro est la norme de l'industrie pour exécuter plusieurs systèmes d'exploitation en tant que machines virtuelles (VM) sur un seul PC Linux ou Windows. Les professionnels de l'informatique, les développeurs et les entreprises qui conçoivent, testent ou démontrent des logiciels pour tout appareil, plate-forme ou cloud font confiance à Workstation Pro. Caractéristiques: Exécutez des VM, des conteneurs et des ...
  • StarTech.com Carte série PCI Express à 2 ports RS232 avec UART 16950 - Compatible Windows et Linux - 921.4 Kbps (PEX1S953LP) (PEX2S953LP) - adaptateur série - PCIe - RS-232 x 2
    Ajoutez des fonctionnalités RS232 DB9 sans acheter de nouveau serveur ou ordinateurConformité PCI Express 1.1, garantissant des performances fiablesOptimisation de l'intégration du format de boîtier avec un support faible encombrement ou pleine hauteurTaux de transfert de données grande vitesse allant jusqu'à 921,4 Kbit/sPrise en charge du PEPS de 256 octets par transmetteur et récepteur Cette carte série RS232 vous permet d''ajouter deux ports série RS232 DB9 à votre ordinateur via un slot PCI Express (PCIe).<br/>Elle vous permet d''utiliser des appareils série tels que des lecteurs de cartes, des imprimantes, des claviers NIP et des modems, à des vitesses pouvant atteindre 921,4 Kbit/s.<br/><br/>Compatibilité maximale<br/><br/>Avec sa prise en charge étendue du système d''exploitation, notamment pour Windows et Linux, cette carte PCI Express s''intègre facilement dans des environnements mixtes.<br/>La carte est préconfigurée avec un support faible encombrement et comprend en option un support pleine hauteur, ce qui facilite l''installation quel que soit le format du boîtier.<br/><br/>Découvrez une technologie optimale<br/><br/>Cette PCIe vers adaptateur série prend en charge les fonctionnalités suivantes :<br/><br/>Compatible avec la norme 16950 UART<br/><br/>Prend en charge un débit en bauds maximal de 921,4 Kbit/s<br/><br/>Fournit une sortie d''alimentation 5/12 V sur la broche 9 lorsque l''alimentation externe est connectée<br/><br/>PEPS de profondeur 256 octets par émetteur et récepteur<br/><br/>9, 8, 7, 6 ou 5 bits de données pris en charge<br/><br/>Chipset ASIX AX99100<br/><br/>Conformité PCI Express 1.1<br/><br/>Le modèle PEX2S953LP bénéficie de la garantie à vie StarTech.com et de l''assistance technique à vie gratuite. - Offre exclusivement réservée aux professionnels
  • Kinguin Vmware Workstation 16 Pro Lifetime License
    Créez et testez n'importe quelle plate-forme avec VMware Workstation! VMware Workstation Pro est la norme de l'industrie pour exécuter plusieurs systèmes d'exploitation en tant que machines virtuelles (VM) sur un seul PC Linux ou Windows. Les professionnels de l'informatique, les développeurs et les entreprises qui conçoivent, testent ou démontrent des logiciels pour tout appareil, plate-forme ou cloud font confiance à Workstation Pro. Caractéristiques: Exécutez des VM, des conteneurs et des ...

hfrance

Administrateur réseau dans un grand groupe, je partage mes connaissances sur Hfrance pour aider mes confrères et mes consoeurs.