Des chercheurs en sécurité analysant la charge utile et le mode opératoire du ransomware Alpha ont découvert des chevauchements avec l’opération de ransomware Netwalker, aujourd’hui disparue.

Netwalker était un ransomware-as-a-service (RaaS) prolifique actif entre octobre 2019 et janvier 2021, lorsque les forces de l’ordre ont saisi ses sites Web sombres, ce qui a conduit ses opérateurs à se taire.

L’opération de ransomware Alpha (à ne pas confondre avec ALPHV/BlackCat) est apparue en février 2023 mais a gardé un profil bas, n’a pas fait de promotion sur les forums de pirates informatiques, et ses opérateurs n’ont pas non plus mené de nombreuses attaques.

Cela a changé récemment lorsque le groupe a lancé un site de fuite de données pour répertorier les victimes et publier les fichiers volés sur les réseaux piratés.

Au moment de la rédaction de cet article, Alpha montre neuf victimes sur son portail d’extorsion, et pour huit d’entre elles, l’acteur menaçant a déjà publié les fichiers volés.

Le site d’extorsion d’Alpha

Un rapport de Neterich du 29 janvier indique qu’Alpha est progressivement devenu plus sophistiqué.

Dans la version la plus récente, le ransomware ajoute une extension alphanumérique aléatoire de 8 caractères aux fichiers cryptés.

De plus, après de nombreuses itérations de demande de rançon, la dernière inclut des instructions pour que les victimes contactent l’auteur de la menace via un service de messagerie.

Selon Neterich, la demande de rançon signalée varie entre 0,272 BTC (13 200 USD au taux de change actuel) et jusqu’à 100 000 USD, probablement en fonction de la taille de l’entreprise de la victime.

Liens vers Netwalker
Un nouveau rapport publié aujourd’hui par les analystes des menaces de Symantec relie Alpha au défunt ransomware Netwalker, sur la base des outils et tactiques, techniques et procédures utilisés dans les attaques.

Les principales similitudes mises en évidence par Symantec sont les suivantes:

  • Netwalker et Alpha ransomware utilisent tous deux un chargeur similaire basé sur PowerShell pour fournir leurs charges utiles.
  • Chevauchements importants de code dans la charge utile, y compris le flux d’exécution général des fonctionnalités principales, la terminaison des processus et des services, et les similitudes dans l’invocation des API système.
Utilisation de tables d’adresses d’importation personnalisées (Netwalker à gauche, Alpha à droite)
  • Similitudes de configuration dans la liste des dossiers, fichiers et extensions à ignorer, ainsi que les processus et services à supprimer.
  • Les deux se suppriment à l’aide d’un fichier batch temporaire une fois le processus de cryptage terminé.
  • Les portails de paiement pour Netwalker et Alpha contiennent le même message: « Pour entrer, veuillez utiliser le code utilisateur. »
Comparaison des portails (NetWalker à gauche, Alpha à droite)

Symantec rapporte également que les récentes attaques Alpha utilisent largement des outils vivant hors du pays, notamment Taskkill, PsExec, Net.exe, et règl.exe, pour évasion. Cependant, cela est commun à de nombreux gangs de ransomwares.

Les similitudes ci-dessus indiquent un lien étroit entre NetWalker et les développeurs d’Alpha, ce qui pourrait signifier une renaissance de NetWalker sous la marque Alpha ou que son code est réutilisé par un nouveau groupe de menaces.

Symantec note qu’un nouvel attaquant aurait pu acquérir la charge utile NetWalker et l’adapter à son opération de ransomware.

Bien qu’il ne soit pas actuellement un acteur important sur la scène des ransomwares, Alpha est considéré comme une menace émergente que les organisations devraient surveiller.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *