La operación de ransomware 'RedAlert' (también conocida como 'N13V) cifra los servidores 'VMWare ESXi' de Windows y Linux en ataques a redes corporativas. Ayer, MalwareHunterTeam informaba en su cuenta de Twitter sobre la operación de fuga de datos.
El cifrado de Linux se crea para apuntar a los servidores 'VMware ESxi', de esta manera, los ciberdelincuentes pueden apagar cualquier dispositivo en ejecución antes de cifrar los archivos.
Esta es la lista comandos que se pueden llevar a cabo:
- F: Archivo para cifrar.
- H: Mostrar este mensaje.
- N: Búsqueda sin encriptación de archivos (muestra archivos y carpetas con alguna información).
- P: Ruta para encriptar (por defecto encripta solo archivos en el directorio, no incluye subdirectorios).
- R: Recursivo. Se usa solo con -p (la búsqueda y el cifrado incluirán subdirectorios).
- T: Comprobar el tiempo de cifrado (solo cifrado, sin generación de claves, asignación de memoria...).
- X: Pruebas de rendimiento de criptografía asimétrica. Pruebas de depuración.
- W: Ejecute el comando para detener todas las máquinas virtuales en ejecución.
Al ejecutar el ransomware con W, el cifrador de Linux apagará todas las máquinas virtuales VMware ESXi en ejecución mediante el siguiente comando 'esxcli':
esxcli --formatter=csv --format-param=fields=="WorldID,DisplayName" vm process list | tail -n +2 | awk -F blockquote>,' '{system("esxcli vm process kill --type=force --world-id=" )}'
Al cifrar archivos, el virus emplea el algoritmo de cifrado de clave pública NTRUEncryp, admitiendo varios 'Conjuntos de parámetros' que ofrecen diferentes niveles de seguridad. RedAlert tiene una opción de línea de comandos '-x' que realiza 'pruebas de rendimiento de criptografía asimétrica' para utilizar conjuntos de parámetros NTRUEncrypt.
Bleeping Computer señala que "no está claro si hay una forma de forzar un conjunto de parámetros en particular al cifrar y/o si el ransomware seleccionará uno más eficiente".
Por otro lado, está la operación FiveHands. Al cifrar archivos, el virus tendrá como objetivo los archivos asociados con las máquinas virtuales VMware ESXi (los archivos de registro, los archivos de intercambio, los discos virtuales y los archivos de memoria).
En cada carpeta, el ransomware creará la nota de rescate 'HOW_TO_RESTORE' con una descripción de los datos robados y un enlace a un sitio de pago de rescate. Dicha web muetra la demanda y proporciona una forma de negociar con los ciberdelincuentes, no obstante, RedAlert acepta la criptomoneda Monero para efectuar el pago.
RedAlert lleva a cabo ataques de doble extorsión, es decir, se roban datos y se implementa el ransomware para cifrar dispositivos.
Esta táctica proporciona dos métodos de extorsión, permitiendo a los actores la exigencia de un rescate para recibir un descifrador y la posibilidad de evitar la filtración de datos robados. Por consiguiente, cuando una víctima no paga una demanda de rescate, se publican los datos robados en un sitio de fuga de información para que cualquier persona pueda descargarlos.
Actualmente, el sitio de fuga de RedAlert contiene los datos de una organización.
Apúntate a nuestra newsletter y recibe en tu correo las últimas noticias sobre tecnología.
Comentarios
Hemos bloqueado los comentarios de este contenido. Sólo se mostrarán los mensajes moderados hasta ahora, pero no se podrán redactar nuevos comentarios.
Consulta los casos en los que 20minutos.es restringirá la posibilidad de dejar comentarios