top of page

Ransomware Profile: ALPHV

ALPHV es una variante de ransomware que cifra los datos en los sistemas infectados y amenaza con filtrar los datos robados si no se realiza el pago del rescate. Es altamente personalizable, lo que permite a los actores de amenazas adaptar fácilmente un ataque al entorno de destino. ALPHV se observó por primera vez en noviembre de 2021 y se cree que es el primer ransomware activo codificado en el lenguaje de programación Rust.

¿Qué es ALPHV?

ALPHV es una variedad de ransomware que cifra los archivos mediante el cifrado AES (aunque el proceso se puede anular para utilizar ChaCha20) y exige un gran rescate por su descifrado. Es el único ransomware activo desarrollado con Rust, un lenguaje de programación conocido por su rendimiento y seguridad. ALPHV ha utilizado las capacidades multiplataforma de Rust para desarrollar variantes del ransomware para Linux y Windows.


ALPHV se clasifica como ransomware-as-a-service (RaaS), un modelo comercial en el que los desarrolladores del ransomware lo alquilan a afiliados, quienes obtienen una parte de los pagos de rescate a cambio de ejecutar un ataque exitoso. ALPHV ofrece a los afiliados una mayor participación en los ingresos que muchas otras operaciones de RaaS, y los afiliados ganan el 80 % de los pagos de hasta $1,5 millones, el 85 % de los pagos de hasta $3 millones y el 90 % de los pagos de más de $3 millones. Los desarrolladores de ALPHV suelen reclutar afiliados en foros de piratería de habla rusa.


Para amplificar el impacto de un ataque, ALPHV utiliza la exfiltración de datos para ejercer más presión sobre las víctimas y aumentar sus posibilidades de pago. Durante un ataque, los actores de amenazas extraen grandes cantidades de datos del sistema comprometido y amenazan con publicarlos en el sitio de fugas de ALPHV a menos que la víctima pague el rescate.


ALPHV es uno de los pocos grupos de ransomware que también amenaza a las víctimas de DDoS que no pagan el rescate. ALPHV supuestamente usa su propia botnet para realizar manualmente los ataques DDoS. El grupo enmarca DDoS como una especie de característica exclusiva, disponible solo para afiliados que hayan generado más de $ 1.5 millones en pagos de rescate.


La historia de ALPHV

ALPHV se detectó por primera vez en noviembre de 2021 y rápidamente se cobró decenas de víctimas en los primeros meses de funcionamiento.


Es probable que ALPHV sea un cambio de marca de un grupo de ransomware conocido como BlackMatter, que a su vez era un cambio de marca de un grupo conocido como Darkside. Se cree que estos esfuerzos de cambio de marca pueden ser un intento de los actores de amenazas de distanciarse de un costoso error de desarrollo que permitió a Emsisoft crear una herramienta gratuita de descifrado de Blackmatter.


Los investigadores de ciberseguridad originalmente llamaron al ransomware 'BlackCat' por la imagen de un felino entintado que aparecía en el sitio de pago Tor de cada víctima. Sin embargo, en febrero de 2021, un representante del grupo confirmó que su único nombre oficial es ALPHV.


Desde que se descubrió ALPHV por primera vez, se han realizado 194 envíos a ID Ransomware, una herramienta en línea que ayuda a las víctimas de ransomware a identificar qué ransomware ha cifrado sus archivos. Estimamos que solo el 25 por ciento de las víctimas realizan un envío a ID Ransomware, lo que significa que puede haber un total de 776 incidentes ALPHV desde el inicio del ransomware. Durante este tiempo, el grupo también publicó en su sitio de fugas los datos robados de al menos 40 organizaciones.


Nota de rescate ALPHV

Una vez que se ha implementado el ransomware y se completa el proceso de encriptación, ALPHV deja caer una nota de rescate en el sistema infectado. La nota de rescate lleva el nombre de la extensión de archivo aparentemente aleatoria que ALPHV agrega a todos los archivos cifrados y utiliza el siguiente formato de nombre: 'RECOVER-[RANDOM EXTENSION]-FILES.txt'.


La nota de rescate informa al objetivo que sus archivos han sido encriptados e incluye un enlace a un sitio .onion donde la víctima puede realizar el pago. La nota también incluye ejemplos del tipo de datos robados durante el ataque, junto con amenazas de que los datos se publicarán si la víctima se niega a cooperar.


A continuación se muestra una nota de rescate ALPHV de muestra:



¿A quién se dirige ALPHV?

ALPHV tiende a apuntar a grandes organizaciones con los recursos y la motivación para pagar grandes demandas de rescate. Es capaz de infectar sistemas Windows y Linux.


ALPHV prohíbe los ataques a naciones pertenecientes a la Comunidad de Estados Independientes (CEI), que incluye a Azerbaiyán, Armenia, Bielorrusia, Kazajstán, Kirguistán, Moldavia, Rusia, Tayikistán, Turkmenistán, Uzbekistán y Ucrania.


El grupo también prohíbe los ataques contra instituciones gubernamentales, de salud y educativas. Si una entidad que pertenece a uno de estos sectores es atacada, ALPHV afirma que proporcionará descifrado gratuito y prohibirá al afiliado infractor.


Como siempre, cualquier afirmación hecha por grupos de ciberdelincuencia debe tomarse con cautela. ALPHV ya ha publicado datos robados de al menos una víctima en el sector de la salud (el grupo ha declarado que sus reglas para evitar el sector de la salud no se aplican a las compañías farmacéuticas y clínicas privadas). Además, incluso si el grupo proporciona descifrado gratuito a una entidad afectada, el proceso de recuperación aún puede tardar días, semanas o meses en completarse. Este nivel de interrupción puede tener un impacto significativo en la salud del paciente.


¿Cómo se propaga el ALPHV?

Los ataques ALPHV comienzan violando la red objetivo. Los afiliados pueden usar una variedad de métodos para infectar el sistema de destino, incluidos RDP comprometidos, ataques de phishing, credenciales robadas y explotación de vulnerabilidades conocidas.


Una vez que el sistema ha sido comprometido, los atacantes pueden usar una variedad de herramientas para preparar el entorno para el cifrado y maximizar el impacto del ataque. Se utilizan herramientas como Mimikatz, LaZagne y WebBrowserPassView para acceder a las contraseñas guardadas, lo que permite a los actores de amenazas aumentar los privilegios y propagarse lateralmente por la red. MEGAsync se usa a menudo para filtrar datos, mientras que las herramientas antiforenses como File Shredder a veces se usan para eliminar archivos de forma segura y frustrar el análisis. PowerShell se usa a menudo para modificar la configuración de seguridad de Windows Defender y las instantáneas de volumen se eliminan antes del cifrado para evitar que las organizaciones restauren los archivos cifrados.



ALPHV requiere un token de acceso específico para que el ransomware se ejecute correctamente. El token de acceso actúa como una clave única, que se utiliza para verificar la identificación de la víctima y debe proporcionarse al acceder al sitio de pago ALPHV .onion. El token de acceso evita que terceros (como los investigadores de ransomware) rompan lo que se supone que es una negociación privada entre la víctima y el atacante.


Dado que ALPHV funciona como un RaaS y puede ser distribuido por muchos afiliados diferentes, la anatomía exacta de un ataque puede variar de un incidente a otro.


Principales ataques ALPHV
  • Oiltanking: A fines de noviembre de 2021, el distribuidor de gasolina alemán Oiltanking GmbH fue víctima de un ataque ALPHV. El incidente afectó a 13 terminales de combustible, incluidos los sistemas automatizados encargados de cargar y descargar los tanques de combustible, y obligó a la empresa a recurrir a procesos manuales. Más de 200 gasolineras, la mayoría ubicadas en el norte de Alemania, se vieron afectadas durante el ataque.

  • Swissport: en febrero de 2022, Swissport, el proveedor líder mundial de servicios terrestres y manejo de carga para la industria de la aviación, supuestamente fue afectado por ALPHV. El grupo publicó en su sitio de fuga de datos una pequeña muestra de archivos que aparentemente fueron robados durante el ataque, incluidos pasaportes, notas comerciales internas e información personal de los candidatos. El grupo también ofreció vender todo el conjunto de datos robados de 1,6 TB.


Cómo proteger la red de ALPHV y otros ransomware

Las siguientes prácticas pueden ayudar a las organizaciones a reducir el riesgo de un incidente ALPHV.

  • Capacitación en concientización sobre ciberseguridad: debido a que la mayoría del ransomware se propaga a través de acciones iniciadas por el usuario, las organizaciones deben implementar iniciativas de capacitación que se centren en enseñar a los usuarios finales los fundamentos de la ciberseguridad. El ransomware y los métodos de propagación están en constante evolución, por lo que la capacitación debe ser un proceso continuo para garantizar que los usuarios finales estén frente a las amenazas actuales.

  • Higiene de credenciales: Practicar una buena higiene de credenciales puede ayudar a prevenir ataques de fuerza bruta, mitigar los efectos del robo de credenciales y reducir el riesgo de acceso no autorizado a la red.

  • Autenticación multifactor: MFA brinda una capa adicional de seguridad que puede ayudar a evitar el acceso no autorizado a cuentas, herramientas, sistemas y repositorios de datos. Las organizaciones deben considerar habilitar MFA siempre que sea posible.

  • Parches de seguridad: las organizaciones de todos los tamaños deben tener una estrategia sólida de administración de parches que garantice que las actualizaciones de seguridad en todos los puntos finales, servidores y dispositivos se apliquen lo antes posible para minimizar la ventana de oportunidad de un ataque.

  • Copias de seguridad: las copias de seguridad son una de las formas más efectivas de mitigar los efectos de un incidente de ransomware. Muchas cepas de ransomware pueden propagarse lateralmente a través de la red y cifrar las copias de seguridad almacenadas localmente, por lo que las organizaciones deben usar una combinación de almacenamiento de medios y almacenar copias de seguridad tanto dentro como fuera del sitio. Consulte esta guía para obtener más información sobre cómo crear copias de seguridad a prueba de ransomware.

  • Fortalecimiento del sistema: El fortalecimiento de las redes, los servidores, los sistemas operativos y las aplicaciones es crucial para reducir la superficie expuesta a ataques y gestionar las posibles vulnerabilidades de seguridad. La desactivación de servicios innecesarios y potencialmente explotables como PowerShell, RDP, Windows Script Host, macros de Microsoft Office, etc. reduce el riesgo de infección inicial, mientras que la implementación del principio de privilegio mínimo puede ayudar a prevenir el movimiento lateral.

  • Bloquear macros: muchas familias de ransomware se entregan a través de documentos PDF o de Microsoft Office integrados en macros. Las organizaciones deben revisar su uso de macros, considerar bloquear todas las macros de Internet y solo permitir que las macros examinadas y aprobadas se ejecuten desde ubicaciones confiables.

  • Autenticación de correo electrónico: las organizaciones pueden utilizar una variedad de técnicas de autenticación de correo electrónico, como el marco de política del remitente, el correo identificado con claves de dominio y la autenticación, informes y conformidad de mensajes basados ​​en dominios para detectar la suplantación de correo electrónico e identificar mensajes sospechosos.

  • Segregación de red: la segregación de red efectiva ayuda a contener incidentes, evita la propagación de malware y reduce la interrupción del negocio en general.

  • Monitoreo de red: las organizaciones de todos los tamaños deben contar con sistemas para monitorear posibles canales de exfiltración de datos y responder de inmediato a actividades sospechosas.

  • Pruebas de penetración: las pruebas de penetración pueden ser útiles para revelar vulnerabilidades en la infraestructura de TI y la susceptibilidad de los empleados al ransomware. Los resultados de la prueba se pueden utilizar para asignar recursos de TI e informar futuras decisiones de ciberseguridad.

  • Plan de respuesta a incidentes: las organizaciones deben tener un plan integral de respuesta a incidentes que detalle exactamente qué hacer en caso de infección. Una respuesta rápida puede ayudar a evitar que el malware se propague, minimizar las interrupciones y garantizar que el incidente se resuelva de la manera más eficiente posible.


Cómo eliminar ALPHV y otros ransomware

ALPHV utiliza métodos de cifrado que actualmente hacen que sea imposible descifrar datos sin pagar por una herramienta de descifrado proporcionada por el atacante.


Las víctimas de ALPHV deben estar preparadas para restaurar sus sistemas a partir de copias de seguridad, utilizando procesos que deben definirse en el plan de respuesta a incidentes de la organización. Se recomiendan las siguientes acciones:


  • Tome medidas para contener la amenaza.

  • Determinar la extensión de la infección.

  • Identificar la fuente de la infección.

  • Recolectar evidencia.

  • Restaurar el sistema a partir de copias de seguridad.

  • Asegúrese de que todos los dispositivos de la red estén limpios.

  • Realice un análisis forense integral para determinar el vector de ataque, el alcance del incidente y el alcance de la exfiltración de datos.

  • Identificar y fortalecer las vulnerabilidades para reducir el riesgo de que se repita el incidente.


Emsisoft ofrece servicios de asesoramiento personalizados sobre ransomware para ayudar a las organizaciones afectadas por ransomware a reducir el tiempo de inactividad, los costos y el riesgo de pérdida permanente de datos. Hacer una consulta.

85 visualizaciones

Comments


Unete a nuestra lista de correo

No te pierdas ninguna actualización

Gracias por tu mensaje!