Phần mềm tống tiền Alpha liên quan đến hoạt động NetWalker đã bị loại bỏ từ năm 2021

Các nhà nghiên cứu bảo mật khi phân tích payload và phương thức hoạt động của ransomware Alpha đã phát hiện ra sự trùng lặp với hoạt động của ransomware Netwalker hiện không còn tồn tại.

Netwalker là một loại ransomware dưới dạng dịch vụ (RaaS) hoạt động mạnh mẽ từ tháng 10 năm 2019 đến tháng 1 năm 2021, khi cơ quan thực thi pháp luật tịch thu các trang web đen đã khiến các nhà khai thác phải im hơi lặng tiếng.

Hoạt động ransomware Alpha (đừng nhầm với ALPHV/BlackCat) xuất hiện vào tháng 2 năm 2023 nhưng hoạt động kín tiếng, không quảng bá trên các diễn đàn hacker và những kẻ điều hành nó cũng không thực hiện nhiều cuộc tấn công.

Điều này đã thay đổi gần đây khi nhóm này tung ra một trang web rò rỉ dữ liệu để liệt kê các nạn nhân và xuất bản các tệp bị đánh cắp từ các mạng bị tấn công.

Tại thời điểm viết bài, Alpha hiển thị chín nạn nhân trên cổng tống tiền của mình và tám nạn nhân trong số đó, kẻ đe dọa đã công bố các tập tin bị đánh cắp.

Trang web tống tiền của Alpha (BleepingCompouter)



Báo cáo của Neterich ngày 29/1 cho biết Alpha đã dần phát triển tinh vi hơn.

Trong phiên bản mới nhất, ransomware gắn thêm phần mở rộng ngẫu nhiên gồm 8 ký tự chữ và số vào các tệp được mã hóa.

Ngoài ra, sau nhiều lần ghi chú đòi tiền chuộc, phiên bản mới nhất bao gồm hướng dẫn nạn nhân liên hệ với kẻ đe dọa qua dịch vụ nhắn tin.

Nhu cầu tiền chuộc được báo cáo, theo Neterich, dao động trong khoảng từ 0,272 BTC (13.200 USD theo tỷ giá hối đoái ngày nay) đến 100.000 USD, có thể tùy thuộc vào quy mô kinh doanh của nạn nhân.

Liên kết tới Netwalker

Một báo cáo mới được các nhà phân tích mối đe dọa của Symantec đã công bố  liên kết Alpha với phần mềm ransomware Netwalker không còn tồn tại, dựa trên các công cụ và chiến thuật, kỹ thuật và quy trình được sử dụng trong các cuộc tấn công.

Những điểm tương đồng chính mà Symantec nổi bật bao gồm:

• Cả ransomware Netwalker và Alpha đều sử dụng trình tải dựa trên PowerShell tương tự để phân phối payload của chúng.
• Sự chồng chéo mã đáng kể trong tải trọng, bao gồm luồng thực thi chung của các chức năng chính, việc chấm dứt các quy trình và dịch vụ cũng như những điểm tương đồng trong việc gọi API hệ thống.

Sử dụng bảng địa chỉ nhập tùy chỉnh (Netwalker bên trái, Alpha bên phải) (Symantec)



• Sự tương đồng về cấu hình trong danh sách các thư mục, tệp và tiện ích mở rộng bị bỏ qua, cũng như các quy trình và dịch vụ sẽ bị loại bỏ.
• Cả hai đều tự xóa bằng tập tin batch (.bat) tạm thời sau khi hoàn tất quá trình mã hóa.
• Cổng thanh toán cho cả Netwalker và Alpha đều chứa cùng một thông báo: "Để nhập, vui lòng sử dụng mã người dùng."

So sánh các cổng (NetWalker bên trái, Alpha bên phải) (Symantec)