به گزارش کارگروه امنیت سایبربان؛ یک گروه باج افزاری جدید به نام RedAlert (آژیر قرمز) یا N13V در حملات خود به شبکه های سازمانی، سرورهای ویندوز و لینوکس وی ام ویر ESXi را رمزنگاری می کند.
این فعالیت ها امروز توسط تیم شکارچیان بدافزار شناسایی شد.
دلیل نام گذاری این گروه مبتنی بر رشته های مورد استفاده آن در نوت باج می باشد. البته محققین با توجه به رمزنگار لینوکس به دست آمده از آژیر قرمز مدعی هستند خود بازیگران مخرب، نام گروه خود را N13V می دانند.
این رمزنگار لینوکس که برای هدف قرار دادن سرورهای VMware ESXi طراحی شده، دارای آپشن های خط فرمانی است که این امکان را به بازیگران مخرب می دهد پیش از رمزنگاری فایل ها، هر گونه ماشین مجازی در حال اجرا را غیر فعال کنند.
این باج افزار به هنگام رمزنگاری فایل ها، فقط فایل های مرتبط با ماشین های مجازی VMware ESXi از جمله فایل های لاگ، فایل های مبادله، دیسک های مجازی و فایل های حافظه را مورد هدف قرار می دهد. طبق بررسی های صورت گرفته، آژیر قرمز پس از رمزنگاری این نوع فایل ها پسوند .crypt658 را به نام فایل های رمزنگاری شده پیوست می کند.
آژیر قرمز همچنین در هر یک از فایل ها، نوت باجی به نام HOW_TO_RESTORE را ایجاد می کند که حاوی توضیحاتی در مورد داده های سرقتی و لینک های منتهی به سایت پرداخت TORهستند.
بازیگران مخرب با استفاده از این وبسایت های پرداخت، تقاضای باج خود را به قربانیان ارائه می کنند.
مونرو تنها ارز دیجیتالی است که مورد تایید آژیر قرمز است و پرداخت ها بایستی تنها به این شکل پرداخت شوند. در صورت عدم پرداخت باج از سوی قربانی، گروه آژیر قرمز اقدام به انتشار داده های سرقتی قربانیان در سایت نشت داده خود خواهند کرد و هر کسی می تواند آن را دانلود کند.
