تضفي البرامج الضارة التي تستخدمها BlackCat/ALPHV لمسة جديدة على لعبة برامج الفدية عن طريق حذف بيانات المؤسسة وتدميرها بدلاً من مجرد تشفيرها. ويقدم هذا التطور لمحة عن الاتجاه الذي من المحتمل أن تتجه إليه الهجمات الإلكترونية ذات الدوافع المالية، وفقًا للباحثين.
لاحظ باحثون من شركتي الأمن Cyderes وStairwell وجود أداة استخراج .NET يتم نشرها فيما يتعلق ببرنامج الفدية BlackCat/ALPHV يُسمى Exmatter، والذي يبحث عن أنواع ملفات محددة من أدلة محددة، ويحملها إلى خوادم يتحكم فيها المهاجم، ثم يفسد الملفات ويدمرها . الطريقة الوحيدة لاستعادة البيانات هي شراء الملفات المسربة من العصابة.
"يشاع أن تدمير البيانات هو المكان الذي ستذهب إليه برامج الفدية، لكننا لم نر ذلك في الواقع،" وفقًا لما ذكره أحد الباحثين. بلوق وظيفة تم نشره مؤخرًا على موقع Cyderes. وقال الباحثون إن Exmatter يمكن أن يشير إلى أن التحول يحدث، مما يدل على أن الجهات الفاعلة في مجال التهديد تعمل بنشاط على تنظيم وتطوير مثل هذه القدرة.
أجرى باحثو Cyderes تقييمًا أوليًا لـ Exmatter، ثم اكتشف فريق أبحاث التهديدات في Stairwell "وظيفة تدمير البيانات المنفذة جزئيًا" بعد تحليل البرامج الضارة، وفقًا إلى مشاركة مدونة مصاحبة.
"إن استخدام تدمير البيانات من قبل جهات فاعلة على مستوى الشركات التابعة بدلاً من نشر برامج الفدية كخدمة (RaaS) من شأنه أن يمثل تحولًا كبيرًا في مشهد ابتزاز البيانات، وسيشير إلى بلقنة جهات التسلل ذات الدوافع المالية التي تعمل حاليًا تحت مظلة وأشار دانييل ماير، باحث التهديد في Stairwell، وشيلبي كابا، مدير العمليات الخاصة في Cyderes، في المنشور إلى لافتات البرامج التابعة لـ RaaS.
ويشير أحد الخبراء الأمنيين إلى أن ظهور هذه القدرة الجديدة في Exmatter هو بمثابة تذكير بمشهد التهديدات سريع التطور والمتطور بشكل متزايد حيث تركز الجهات الفاعلة في مجال التهديد على إيجاد طرق أكثر إبداعًا لتجريم نشاطها.
يقول راجيف بيمبلاسكار، الرئيس التنفيذي لمزود الاتصالات الآمنة Dispersive Holdings، لـ Dark Reading: "خلافًا للاعتقاد السائد، فإن الهجمات الحديثة لا تتعلق دائمًا بسرقة البيانات فحسب، بل يمكن أن تتعلق بالتدمير والتعطيل واستخدام البيانات كسلاح و/أو التضليل و/أو الدعاية".
ويضيف بيمبلاسكار أن هذه التهديدات دائمة التطور تتطلب من المؤسسات أيضًا تحسين دفاعاتها ونشر حلول أمنية متقدمة تعمل على تقوية أسطح الهجوم الخاصة بها والتعتيم على الموارد الحساسة، الأمر الذي سيجعلها أهدافًا يصعب مهاجمتها في المقام الأول.
العلاقات السابقة مع BlackMatter
إن تحليل الباحثين لـ Exmatter ليس المرة الأولى التي يتم فيها ربط أداة بهذا الاسم بـ BlackCat/ALPHV. يُعتقد أن هذه المجموعة يديرها أعضاء سابقون في عصابات برامج الفدية المختلفة، بما في ذلك تلك التي انتهت صلاحيتها الآن مادة سوداء - استخدم Exmatter لتسلل البيانات من ضحايا الشركات في ديسمبر ويناير الماضيين، قبل نشر برامج الفدية في هجوم ابتزاز مزدوج، حسبما أفاد باحثون من Kaspersky ذكرت سابقا.
في الواقع، استخدم Kaspersky Exmatter، المعروف أيضًا باسم Fendr، لربط نشاط BlackCat/ALPHV بنشاط BlackCat/ALPHV. مادة سوداء في موجز التهديد، والذي تم نشره في وقت سابق من هذا العام.
أوضح ماير أن عينة Exmatter التي فحصها باحثو Stairwell وCyderes هي ملف .NET قابل للتنفيذ مصمم لتصفية البيانات باستخدام بروتوكولات FTP وSFTP وwebDAV، ويحتوي على وظيفة لإتلاف الملفات الموجودة على القرص التي تم مسحها. يتماشى ذلك مع أداة BlackMatter التي تحمل الاسم نفسه.
كيف يعمل Exmatter Destructor
باستخدام روتين يسمى "Sync"، تتكرر البرامج الضارة عبر محركات الأقراص الموجودة على الجهاز الضحية، مما يؤدي إلى إنشاء قائمة انتظار من الملفات ذات امتدادات ملفات معينة ومحددة للتصفية، ما لم تكن موجودة في دليل محدد في قائمة الحظر المشفرة للبرامج الضارة.
وقال ماير إن Exmatter يمكنه تصفية الملفات الموجودة في قائمة الانتظار عن طريق تحميلها إلى عنوان IP يتحكم فيه المهاجم.
وأوضح في المنشور: "تتم كتابة الملفات المسربة في مجلد يحمل نفس اسم مضيف جهاز الضحية على الخادم الذي يتحكم فيه الممثل".
وقال الباحثون إن عملية تدمير البيانات تقع ضمن فئة محددة ضمن العينة المسماة "Eraser" والتي تم تصميمها للتنفيذ بشكل متزامن مع Sync. وأوضح ماير أنه عندما يقوم Sync بتحميل الملفات إلى الخادم الذي يتحكم فيه الممثل، فإنه يضيف الملفات التي تم نسخها بنجاح إلى الخادم البعيد إلى قائمة انتظار الملفات لتتم معالجتها بواسطة Eraser.
وأشار إلى أن الممحاة تختار ملفين بشكل عشوائي من قائمة الانتظار وتستبدل الملف 1 بمجموعة من التعليمات البرمجية المأخوذة من بداية الملف الثاني، وهي تقنية إفساد قد يكون المقصود منها تكتيكًا للتهرب.
كتب ماير: "إن استخدام بيانات الملف المشروعة من الجهاز الضحية لإتلاف ملفات أخرى قد يكون أسلوبًا لتجنب الكشف القائم على الكشف عن برامج الفدية وبرامج المسح، حيث أن نسخ بيانات الملف من ملف إلى آخر هو أمر أكثر اعتدالًا بكثير". مقارنة بالكتابة التسلسلية للملفات ببيانات عشوائية أو تشفيرها. كتب ماير.
العمل في التقدم
وأشار الباحثون إلى أن هناك عددًا من الأدلة التي تشير إلى أن تقنية إفساد البيانات الخاصة بـ Exmatter هي عمل قيد التقدم، وبالتالي لا تزال قيد التطوير من قبل مجموعة برامج الفدية.
أحد العناصر الموجودة في العينة التي تشير إلى ذلك هو حقيقة أن طول مقطع الملف الثاني، والذي يُستخدم للكتابة فوق الملف الأول، يتم تحديده عشوائيًا ويمكن أن يصل طوله إلى بايت واحد.
وأشار الباحثون إلى أن عملية تدمير البيانات لا تحتوي أيضًا على آلية لإزالة الملفات من قائمة انتظار الفساد، مما يعني أنه قد تتم الكتابة فوق بعض الملفات عدة مرات قبل إنهاء البرنامج، في حين قد لا يتم تحديد ملفات أخرى على الإطلاق.
علاوة على ذلك، فإن الوظيفة التي تنشئ مثيل فئة Eraser - والتي يطلق عليها اسم "Erase" - لا يبدو أنها تم تنفيذها بالكامل في العينة التي حللها الباحثون، لأنها لا يتم تفكيكها بشكل صحيح، على حد قولهم.
لماذا التدمير بدلاً من التشفير؟
النامية قدرات تلف البيانات وتدميرها وأشار الباحثون إلى أن تشفير البيانات له عدد من الفوائد لممثلي برامج الفدية، خاصة وأن تسرب البيانات والابتزاز المزدوج (أي التهديد بتسريب البيانات المسروقة) أصبح سلوكًا شائعًا إلى حد ما لممثلي التهديد. وقالوا إن هذا جعل تطوير برامج الفدية المستقرة والآمنة والسريعة لتشفير الملفات زائدة عن الحاجة ومكلفة مقارنة بإتلاف الملفات واستخدام النسخ المسربة كوسيلة لاستعادة البيانات.
وأشار الباحثون إلى أن إلغاء التشفير تمامًا يمكن أن يجعل العملية أسرع بالنسبة للشركات التابعة لـ RaaS، وتجنب السيناريوهات التي تخسر فيها الأرباح لأن الضحايا يجدون طرقًا أخرى لفك تشفير البيانات.
ولاحظ ماير أن "هذه العوامل تبلغ ذروتها في حالة مبررة للشركات التابعة التي تترك نموذج RaaS لتبدأ من تلقاء نفسها، وتستبدل برامج الفدية كثيفة التطوير بتدمير البيانات".
