Μια νέα λειτουργία ransomware που ονομάζεται RedAlert ή N13V, κρυπτογραφεί τους διακομιστές Windows και Linux VMWare ESXi σε επιθέσεις σε εταιρικά δίκτυα.
Η νέα επιχείρηση ανακαλύφθηκε σήμερα από τον MalwareHunterTeam, ο οποίος δημοσίευσε διάφορες εικόνες του ιστότοπου διαρροής δεδομένων της συμμορίας.
Το ransomware ονομάζεται «RedAlert» με βάση μια συμβολοσειρά που χρησιμοποιείται στο σημείωμα λύτρων. Ωστόσο, από έναν κρυπτογραφητή Linux που αποκτήθηκε, οι φορείς απειλών ονομάζουν τη λειτουργία τους “N13V” εσωτερικά.
Ο κρυπτογραφητής Linux έχει δημιουργηθεί για να στοχεύει διακομιστές VMware ESXi, με επιλογές γραμμής εντολών που επιτρέπουν στους παράγοντες απειλών να τερματίζουν τυχόν εικονικές μηχανές που εκτελούνται πριν από την κρυπτογράφηση αρχείων.
Κατά την κρυπτογράφηση αρχείων, το ransomware χρησιμοποιεί τον NTRUEncrypt , ο οποίος υποστηρίζει διάφορα «Σύνολα παραμέτρων» που προσφέρουν διαφορετικά επίπεδα ασφάλειας.
Ένα ενδιαφέρον χαρακτηριστικό του RedAlert/N13V είναι η επιλογή γραμμής εντολών «-x» που εκτελεί «δοκιμή απόδοσης ασύμμετρης κρυπτογραφίας» χρησιμοποιώντας αυτά τα διαφορετικά σύνολα παραμέτρων NTRUEncrypt. Ωστόσο, δεν είναι σαφές εάν υπάρχει τρόπος να επιβληθεί ένα συγκεκριμένο σύνολο παραμέτρων κατά την κρυπτογράφηση ή/και εάν το ransomware θα επιλέξει ένα πιο αποτελεσματικό.
Η μόνη άλλη λειτουργία ransomware που είναι γνωστό ότι χρησιμοποιεί αυτόν τον αλγόριθμο κρυπτογράφησης είναι το FiveHands.