Manuel Statik Analiz — ALPHV/BlackCat Ransomware | Tehdit: KRİTİK

Dosya Kimliği

SHA2567e363b5f1ba373783005440b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
Boyut3.005.440 byte (2.9MB)
String Sayisi5.003

Tor Onion C2: Müzakere Portalı

C2 TESPİT: ALPHV'nin Tor üzerindeki kurban portalı!
http://2cuqgeerjdba2rhdiviezodpu3lc4qz2sjf4qin6f7std2evleqlzjid.onion/
-- 2cuqgeerjdba2rhdiviezodpu3lc4qz2sjf4qin6f7std2evleqlzjid = 52 char v3 onion
-- ALPHV'nin kurban müzakere sitesi (fidye pazarlık portalı)
-- Tor browser'da erişilebilir
-- Kurban: bu URL'e gidip saldırganla iletişime geçiyor

VM Tespiti: wmic csproduct get UUID

ANTİ-VM: BIOS UUID ile sanallaştırma tespiti!
wmic csproduct get UUID
-- "csproduct" = ComputerSystem Product
-- UUID = Evrensel Benzersiz Tanımlayıcı
-- VM'lerde UUID genellikle sabitlenmiş: "564D..." (VMware), "0000-0000..." (VirtualBox)
-- ALPHV: UUID'ye bakarak VM mi fiziksel mi belirliyor
-- VM tespitinde çalışmayı durdurabilir veya yavaşlatabilir

Node.js Gömülü Runtime

Node.js API crypto.randomFillSync is unavailable
Node.js crypto module is unavailable
-- ALPHV bazı varyantları Node.js runtime içeriyor
-- crypto.randomFillSync = CSPRNG (güvenli rasgele sayı üreteci)
-- Node.js yok → alternatif entropi kaynağı kullanıyor
-- Hibrit yaklaşım: Rust core + Node.js scripting katmanı

Konfigürasyon Yapısı

_directory_namesexclude_director_file_extensionsexclude_file_extault_file_cipher
-- Birleştirilmiş JSON field adları (config struct içinden):
-- "directory_names"         → şifrelenecek/atlanacak klasörler
-- "exclude_directory"       → atlanacak klasörler (Windows\, System32\...)
-- "file_extensions"         → hedef dosya uzantıları
-- "exclude_file_ext"        → atlanacak uzantılar (.exe .dll .sys...)
-- "default_file_cipher"     → varsayılan şifreleme algoritması (AES-128 CTR?)
-- ALPHV yapılandırma tam özelleştirilebilir RaaS modeli

IOC

SHA2567e363b5f1ba373783005440b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
Onion C22cuqgeerjdba2rhdiviezodpu3lc4qz2sjf4qin6f7std2evleqlzjid.onion
VM Tespitwmic csproduct get UUID

ALPHV — Malware Profile

ALPHV BlackCat Rust tabanli RaaS. Tor onion muzakere. wmic csproduct UUID VM tespit. Node.js gomulu runtime. JSON konfigürasyon.

Malware Type
Ransomware
Programming Language
Rust
C2 Protocol
HTTPS/TOR
Target Systems
Kurumsal/Saglik

Capabilities & Behavior

Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)

IOC List (1 indicators)

IOC — ALPHV
# SHA256 7e363b5f1ba373783005440b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
TypeValueNote
sha256 7e363b5f1ba373783005440b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
Tags
alphvblackcat2cuqgeerjdba-onion-c2wmic-csproduct-uuid-vm-detectnodejs-embedded-runtimeconfig-structure-exposedexclude-file-extensionsdefault-cipher