Manuel Statik Analiz — ALPHV/BlackCat Ransomware | Tehdit: CRÍTICO

Arquivo Kimliği

SHA2567e363b5f1ba373783005440b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
Tamanho3.005.440 byte (2.9MB)
String Sayisi5.003

Tor Onion C2: Müzakere Portalı

C2 TESPİT: ALPHV'nin Tor üzerindeki kurban portalı!
http://2cuqgeerjdba2rhdiviezodpu3lc4qz2sjf4qin6f7std2evleqlzjid.onion/
-- 2cuqgeerjdba2rhdiviezodpu3lc4qz2sjf4qin6f7std2evleqlzjid = 52 char v3 onion
-- ALPHV'nin kurban müzakere sitesi (fidye pazarlık portalı)
-- Tor browser'da erişilebilir
-- Kurban: bu URL'e gidip saldırganla iletişime geçiyor

VM Tespiti: wmic csproduct get UUID

ANTİ-VM: BIOS UUID ile sanallaştırma tespiti!
wmic csproduct get UUID
-- "csproduct" = ComputerSystem Product
-- UUID = Evrensel Benzersiz Tanımlayıcı
-- VM'lerde UUID genellikle sabitlenmiş: "564D..." (VMware), "0000-0000..." (VirtualBox)
-- ALPHV: UUID'ye bakarak VM mi fiziksel mi belirliyor
-- VM tespitinde çalışmayı durdurabilir veya yavaşlatabilir

Node.js Gömülü Runtime

Node.js API crypto.randomFillSync is unavailable
Node.js crypto module is unavailable
-- ALPHV bazı varyantları Node.js runtime içeriyor
-- crypto.randomFillSync = CSPRNG (güvenli rasgele sayı üreteci)
-- Node.js yok → alternatif entropi kaynağı kullanıyor
-- Hibrit yaklaşım: Rust core + Node.js scripting katmanı

Konfigürasyon Yapısı

_directory_namesexclude_director_file_extensionsexclude_file_extault_file_cipher
-- Birleştirilmiş JSON field adları (config struct içinden):
-- "directory_names"         → şifrelenecek/atlanacak klasörler
-- "exclude_directory"       → atlanacak klasörler (Windows\, System32\...)
-- "file_extensions"         → hedef dosya uzantıları
-- "exclude_file_ext"        → atlanacak uzantılar (.exe .dll .sys...)
-- "default_file_cipher"     → varsayılan şifreleme algoritması (AES-128 CTR?)
-- ALPHV yapılandırma tam özelleştirilebilir RaaS modeli

IOC

SHA2567e363b5f1ba373783005440b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
Onion C22cuqgeerjdba2rhdiviezodpu3lc4qz2sjf4qin6f7std2evleqlzjid.onion
VM Tespitwmic csproduct get UUID

ALPHV — Perfil do malware

ALPHV BlackCat Rust tabanli RaaS. Tor onion muzakere. wmic csproduct UUID VM tespit. Node.js gomulu runtime. JSON konfigürasyon.

Tipo de malware
Ransomware
Linguagem de programação
Rust
Protocolo C2
HTTPS/TOR
Sistemas-alvo
Kurumsal/Saglik

Capacidades e comportamento

Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)

Lista IOC (1 indicadores)

IOC — ALPHV
# SHA256 7e363b5f1ba373783005440b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
TipoValorNota
sha256 7e363b5f1ba373783005440b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
Tags
alphvblackcat2cuqgeerjdba-onion-c2wmic-csproduct-uuid-vm-detectnodejs-embedded-runtimeconfig-structure-exposedexclude-file-extensionsdefault-cipher