Manuel Statik Analiz — ALPHV/BlackCat Ransomware | Tehdit: KRİTİK
Dosya Kimliği
| SHA256 | 7e363b5f1ba373783005440b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| Boyut | 3.005.440 byte (2.9MB) |
| String Sayisi | 5.003 |
Tor Onion C2: Müzakere Portalı
C2 TESPİT: ALPHV'nin Tor üzerindeki kurban portalı!
http://2cuqgeerjdba2rhdiviezodpu3lc4qz2sjf4qin6f7std2evleqlzjid.onion/ -- 2cuqgeerjdba2rhdiviezodpu3lc4qz2sjf4qin6f7std2evleqlzjid = 52 char v3 onion -- ALPHV'nin kurban müzakere sitesi (fidye pazarlık portalı) -- Tor browser'da erişilebilir -- Kurban: bu URL'e gidip saldırganla iletişime geçiyor
VM Tespiti: wmic csproduct get UUID
ANTİ-VM: BIOS UUID ile sanallaştırma tespiti!
wmic csproduct get UUID -- "csproduct" = ComputerSystem Product -- UUID = Evrensel Benzersiz Tanımlayıcı -- VM'lerde UUID genellikle sabitlenmiş: "564D..." (VMware), "0000-0000..." (VirtualBox) -- ALPHV: UUID'ye bakarak VM mi fiziksel mi belirliyor -- VM tespitinde çalışmayı durdurabilir veya yavaşlatabilir
Node.js Gömülü Runtime
Node.js API crypto.randomFillSync is unavailable Node.js crypto module is unavailable -- ALPHV bazı varyantları Node.js runtime içeriyor -- crypto.randomFillSync = CSPRNG (güvenli rasgele sayı üreteci) -- Node.js yok → alternatif entropi kaynağı kullanıyor -- Hibrit yaklaşım: Rust core + Node.js scripting katmanı
Konfigürasyon Yapısı
_directory_namesexclude_director_file_extensionsexclude_file_extault_file_cipher -- Birleştirilmiş JSON field adları (config struct içinden): -- "directory_names" → şifrelenecek/atlanacak klasörler -- "exclude_directory" → atlanacak klasörler (Windows\, System32\...) -- "file_extensions" → hedef dosya uzantıları -- "exclude_file_ext" → atlanacak uzantılar (.exe .dll .sys...) -- "default_file_cipher" → varsayılan şifreleme algoritması (AES-128 CTR?) -- ALPHV yapılandırma tam özelleştirilebilir RaaS modeli
IOC
| SHA256 | 7e363b5f1ba373783005440b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| Onion C2 | 2cuqgeerjdba2rhdiviezodpu3lc4qz2sjf4qin6f7std2evleqlzjid.onion |
| VM Tespit | wmic csproduct get UUID |
ALPHV — Malware Profile
ALPHV BlackCat Rust tabanli RaaS. Tor onion muzakere. wmic csproduct UUID VM tespit. Node.js gomulu runtime. JSON konfigürasyon.
Malware Type
Ransomware
Programming Language
Rust
C2 Protocol
HTTPS/TOR
Target Systems
Kurumsal/Saglik
Capabilities & Behavior
Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)
IOC List (1 indicators)
IOC — ALPHV
# SHA256
7e363b5f1ba373783005440b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
| Type | Value | Note |
|---|---|---|
| sha256 | 7e363b5f1ba373783005440b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |