Le ransomware RedAlert cible les serveurs VMware ESXi Windows et Linux

Un nouveau ransomware appelé RedAlert, ou N13V, chiffre les serveurs VMWare ESXi Windows et Linux lors d’attaques contre des réseaux d’entreprise.

Cette nouvelle opération a été découverte aujourd’hui par MalwareHunterTeam, qui a diffusé sur Twitter plusieurs images du site de fuite de données du gang.

Le ransomware a été appelé “RedAlert” en raison d’une chaîne de caractères utilisée dans la note de rançon.

Le crypteur Linux est créé pour cibler les serveurs VMware ESXi, avec des options de ligne de commande qui permettent aux acteurs de la menace d’arrêter toute machine virtuelle en cours d’exécution avant de crypter les fichiers.

Lorsque le ransomware est exécuté avec l’argument “-w”, l’encrypteur Linux arrête toutes les machines virtuelles VMware ESXi en cours d’exécution à l’aide de la commande esxcli suivante :

Lors du cryptage des fichiers, le ransomware utilise l’algorithme de cryptage à clé publique NTRUEncrypt, qui prend en charge différents “Parameter Sets” offrant différents niveaux de sécurité.

Une caractéristique intéressante de RedAlert/N13V est l’option de ligne de commande “-x” qui effectue des “tests de performance de cryptographie asymétrique” en utilisant ces différents jeux de paramètres NTRUEncrypt. Cependant, il n’est pas clair s’il existe un moyen de forcer un jeu de paramètres particulier lors du chiffrement et/ou si le ransomware en sélectionnera un plus efficace.

Le seul autre ransomware connu à utiliser cet algorithme de cryptage est FiveHands.

Lors du chiffrement des fichiers, le ransomware cible uniquement les fichiers associés aux machines virtuelles VMware ESXi, notamment les fichiers journaux, les fichiers d’échange, les disques virtuels et les fichiers de mémoire, comme indiqué ci-dessous.

Dans l’échantillon analysé par BleepingComputer, le ransomware crypte ces types de fichiers et ajoute l’extension.crypt[number] aux noms des fichiers cryptés.

Dans chaque dossier, le ransomware crée également une note de rançon personnalisée nommée HOW_TO_RESTORE, qui contient une description des données volées et un lien vers un site de paiement de rançon TOR unique pour la victime.

Le site de paiement Tor est similaire à d’autres sites d’exploitation de ransomware car il affiche la demande de rançon et offre un moyen de négocier avec les acteurs de la menace.

Cependant, RedAlert/N13V n’accepte que la crypto-monnaie Monero pour le paiement, qui n’est pas couramment vendue dans les échanges de crypto-monnaies aux États-Unis car il s’agit d’une monnaie privée.

Si seul un crypteur Linux a été trouvé, le site de paiement comporte des éléments cachés montrant que des décrypteurs Windows existent également.

Le “Board of Shame” (conseil de la honte)

Comme presque toutes les nouvelles opérations de ransomware ciblant les entreprises, RedAlert mène des attaques de double-extorsion, c’est-à-dire que les données sont volées, puis le ransomware est déployé pour chiffrer les appareils.

Cette tactique offre deux méthodes d’extorsion, permettant aux acteurs de la menace non seulement de demander une rançon pour recevoir un décrypteur, mais aussi d’en exiger une pour empêcher la fuite des données volées.

Lorsqu’une victime ne paie pas la demande de rançon, le gang RedAlert publie les données volées sur son site de fuite de données que tout le monde peut télécharger.

Actuellement, le site de fuite de données de RedAlert ne contient que les données d’une seule organisation, ce qui indique que l’opération est très récente.

Bien qu’il n’y ait pas eu beaucoup d’activité avec la nouvelle opération de ransomware N13V/RedAlert, c’est une opération que nous devrons certainement garder à l’œil en raison de sa fonctionnalité avancée et de son support immédiat pour Linux et Windows.