Group IB

Вымогатель RedAlert атакует корпоративные сети Windows и Linux VMWare ESXi

06.07.2022
Вымогатель RedAlert атакует корпоративные сети Windows и Linux VMWare ESXi

Программа-вымогатель RedAlert, также известная как N13V, начала атаки на сервера Windows и Linux VMWare ESXi с новой силой. Исследователи MalwareHunterTeam пришли к выводу, что целью злоумышленников являются прежде всего корпоративные сети.

Имя RedAlert вымогателю дали потому, что в записке с требованием выкупа, которую получают жертвы, содержится строка с таким текстом. Сами создатели вымогателя предпочитают имя N13V.

Атака производится путем взаимодействия криптора с командной строкой. При этом работа любой виртуальной машины может быть завершена до шифрования файлов с использованием специальной команды.

Файлы шифруются при помощи алгоритма NTRUEncrypt. Зашифрованные файлы имеют расширение .crypt658. RedAlert сам подсказывает жертве нужные шаги по восстановлению . В каждой директории можно найти файл с названием HOW_TO_RESTORE. Вымогатель шифрует логи, файлы подкачки, виртуальные диски и память.