Новый шифровальщик RedAlert атакует серверы Windows и Linux VMware ESXi

Екатерина Быстрова 06 Июля 2022 - 10:04

...

Новая киберкампания операторов программы-вымогателя RedAlert (или N13V) отличается шифрованием северов как на Windows, так и на Linux VMWare ESXi. Цель злоумышленников — корпоративные сети.

На атаки указали исследователи из команды MalwareHunterTeam. В своём Twitter-аккаунте эксперты опубликовали несколько скриншотов сайта киберпреступников, на котором размещается информация об украденных данных.

Вредоносная программа, используемая в этой кампании, получила имя RedAlert — от одной из строк, которую можно найти в записке с требованием выкупа. Сами хакеры называют свою операцию “N13V”, согласно вытащенной из Linux-версии шифратора информации.

Эта версия криптора предназначена для атак на серверы VMware ESXi. Благодаря возможности взаимодействия с командной строкой злоумышленники могут завершать работу любой виртуальной машины перед шифрованием файлов. Список команд выглядит следующим образом:

-w Run command for stop all running VM`s
 -p Path to encrypt (by default encrypt only files in directory, not include subdirectories)
 -f File for encrypt
 -r Recursive. used only with -p ( search and encryption will include subdirectories )
 -t Check encryption time(only encryption, without key-gen, memory allocates ...)
 -n Search without file encryption.(show ffiles and folders with some info)
 -x Asymmetric cryptography performance tests. DEBUG TESTS
 -h Show this message

При запуске вредоноса с параметром “-w” шифратор завершает работу всех виртуальных машин VMware ESXi с помощью следующей команды:

esxcli --formatter=csv --format-param=fields=="WorldID,DisplayName" vm process list | tail -n +2 | awk -F $',' '{system("esxcli vm process kill --type=force --world-id=" $1)}'

В процессе шифрования файлов вымогатель использует алгоритм NTRUEncrypt. Кроме того, интерес вызывает функция RedAlert / N13V, которую вызывает параметр “-x”: зловред выполняет тестирование производительности асимметричной криптографии, используя разные наборы параметров NTRUEncrypt.

В качестве объектов для шифрования выбираются логи, файлы подкачки, виртуальные диски и память:

.log
.vmdk
.vmem
.vswp
.vmsn

К зашифрованным файлам добавляется расширение .crypt658, RedAlert также оставляет в каждой директории записку с именем HOW_TO_RESTORE, в которой жертве рассказывают, какие шаги ей следует предпринять.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 29 Октября 2025 - 11:10

Staffcop Enterprise Корпорации Системы защиты от утечек конфиденциальной информации (DLP)Системы мониторинга событий безопасности SIEM-системы Системы мониторинга эффективности сотрудников Атом Безопасность

В Staffcop 5.7 появилось распознавание аудио и почтовый граббер

Компания «Атом Безопасность» (входит в ГК СКБ Контур) представила новую версию системы расследования инцидентов Staffcop Enterprise 5.7. Обновление получило целый ряд улучшений — от распознавания звука и перехвата сообщений в Яндекс.Мессенджере до нового почтового граббера и улучшенной утилиты удалённой установки агентов.

Главная новинка — сервер распознавания аудио. Он анализирует записи разговоров и помогает выявлять мошеннические схемы, конфликты и нарушения.

В речи пользователей система может искать триггерные слова, указывающие на рискованные действия. При этом компания может развернуть сервер у себя, не передавая внутренние данные сторонним сервисам и не покупая коммерческие лицензии.

Ещё одно важное обновление — новый почтовый граббер, который способен обрабатывать десятки тысяч писем в день. Он ускоряет анализ корпоративной переписки и помогает выявлять нарушения комплаенса, утечки и признаки инсайда. Благодаря асинхронной работе инструмент подходит и для крупных компаний с большим документооборотом.

Кроме того, в Staffcop теперь появился перехват сообщений в Яндекс.Мессенджере — это расширяет контроль над внутренними коммуникациями и помогает в расследовании инцидентов ИБ и экономической безопасности.

Также система научилась перехватывать команды в терминалах macOS, что позволит отслеживать потенциально опасные действия администраторов или злоумышленников. А новая версия утилиты удалённой установки упрощает внедрение агентов на сотни компьютеров, снижая нагрузку на администраторов и сеть.

Дополнительно разработчики добавили учёт времени участия сотрудников во встречах ВКС — теперь эта функция работает не только на Windows, но и на Linux.

«Новый релиз делает расследования быстрее, а защиту данных — надёжнее, сохраняя удобство для администраторов и прозрачность для бизнеса», — отметил Даниил Бориславский, директор по продукту Staffcop и эксперт по ИБ Контур.Эгиды.

Новый шифровальщик RedAlert атакует серверы Windows и Linux VMware ESXi

Читайте также