Malware, som BlackCat/ALPHV bruger, sætter et nyt spin på ransomware-spillet ved at slette og ødelægge en organisations data i stedet for blot at kryptere dem. Udviklingen giver et glimt af den retning, som økonomisk motiverede cyberangreb sandsynligvis er på vej i, ifølge forskere.
Forskere fra sikkerhedsfirmaerne Cyderes og Stairwell har observeret, at et .NET-eksfiltreringsværktøj bliver implementeret i relation til BlackCat/ALPHV ransomware kaldet Exmatter, der søger efter specifikke filtyper fra udvalgte mapper, uploader dem til hacker-kontrollerede servere og derefter korrumperer og ødelægger filerne . Den eneste måde at hente dataene på er ved at købe de eksfiltrerede filer tilbage fra banden.
"Det rygtes, at dataødelæggelse er der, hvor ransomware vil gå, men vi har faktisk ikke set det i naturen," ifølge en blogindlæg offentliggjort for nylig på Cyderes hjemmeside. Exmatter kunne betyde, at skiftet sker, hvilket viser, at trusselsaktører aktivt er i gang med at iscenesætte og udvikle en sådan kapacitet, sagde forskere.
Cyderes-forskere udførte en indledende vurdering af Exmatter, derefter opdagede Stairwells Threat Research Team "delvis implementeret datadestruktionsfunktionalitet" efter at have analyseret malwaren, ifølge til et ledsagende blogindlæg.
"Brugen af datadestruktion af tilknyttede aktører i stedet for udrulning af ransomware-as-a-service (RaaS) ville markere et stort skift i dataafpresningslandskabet og ville signalere balkaniseringen af økonomisk motiverede indtrængen aktører, der i øjeblikket arbejder under bannerne for RaaS-tilknyttede programmer,” bemærkede Stairwell-trusselsforsker Daniel Mayer og Shelby Kaba, direktør for særlige operationer hos Cyderes, i opslaget.
Fremkomsten af denne nye kapacitet i Exmatter er en påmindelse om det hurtigt udviklende og stadig mere sofistikerede trusselslandskab, når trusselsaktører drejer rundt for at finde mere kreative måder at kriminalisere deres aktivitet på, bemærker en sikkerhedsekspert.
"I modsætning til hvad folk tror, handler moderne angreb ikke altid kun om at stjæle data, men kan handle om ødelæggelse, forstyrrelse, datavåben, desinformation og/eller propaganda," siger Rajiv Pimplaskar, administrerende direktør for sikker kommunikationsudbyderen Dispersive Holdings, til Dark Reading.
Disse stadigt udviklende trusler kræver, at virksomheder også skal skærpe deres forsvar og implementere avancerede sikkerhedsløsninger, der hærder deres respektive angrebsoverflader og slører følsomme ressourcer, hvilket vil gøre dem vanskelige mål at angribe i første omgang, tilføjer Pimplaskar.
Tidligere bånd til BlackMatter
Forskernes analyse af Exmatter er ikke første gang, et værktøj med dette navn er blevet forbundet med BlackCat/ALPHV. Denne gruppe - menes at være drevet af tidligere medlemmer af forskellige ransomware-bander, inklusive dem fra nu hedengangne BlackMatter – brugte Exmatter til at eksfiltrere data fra virksomheders ofre i december og januar sidste år, før de implementerede ransomware i et dobbelt afpresningsangreb, sagde forskere fra Kaspersky rapporteret tidligere.
Faktisk brugte Kaspersky Exmatter, også kendt som Fendr, til at forbinde BlackCat/ALPHV-aktivitet med aktiviteten af BlackMatter i trusselsoplægget, som udkom tidligere i år.
Eksemplet af Exmatter, som Stairwell og Cyderes forskere undersøgte, er en .NET eksekverbar fil designet til dataeksfiltrering ved hjælp af FTP, SFTP og webDAV protokoller og indeholder funktionalitet til at ødelægge filerne på disken, der er blevet eksfiltreret, forklarede Mayer. Det stemmer overens med BlackMatters værktøj af samme navn.
Hvordan Exmatter Destructor virker
Ved at bruge en rutine ved navn "Sync" gentager malwaren sig gennem drevene på offermaskinen, og genererer en kø af filer med bestemte og specifikke filtypenavne til eksfiltrering, medmindre de er placeret i en mappe, der er angivet i malwarens hårdkodede blokeringsliste.
Exmatter kan eksfiltrere filer i kø ved at uploade dem til en angriberstyret IP-adresse, sagde Mayer.
"De eksfiltrerede filer er skrevet til en mappe med samme navn som offermaskinens værtsnavn på den skuespillerkontrollerede server," forklarede han i indlægget.
Data-destruktionsprocessen ligger inden for en klasse defineret i prøven kaldet "Eraser", der er designet til at udføres samtidig med Sync, sagde forskere. Da Sync uploader filer til den aktørkontrollerede server, tilføjer den filer, der er blevet kopieret til fjernserveren, til en kø af filer, der skal behandles af Eraser, forklarede Mayer.
Eraser vælger to filer tilfældigt fra køen og overskriver fil 1 med en luns kode, der er taget fra begyndelsen af den anden fil, en korruptionsteknik, der kan være tænkt som en undvigelsestaktik, bemærkede han.
"At bruge legitime fildata fra offermaskinen til at korrumpere andre filer kan være en teknik til at undgå heuristisk-baseret detektion af ransomware og wipers," skrev Mayer, "da kopiering af fildata fra en fil til en anden er meget mere plausibelt godartet. funktionalitet sammenlignet med sekventiel overskrivning af filer med tilfældige data eller kryptering af dem." Mayer skrev.
Arbejde der er i gang
Der er en række spor, der indikerer, at Exmatters data-korruptionsteknik er et igangværende arbejde og derfor stadig udvikles af ransomware-gruppen, bemærkede forskerne.
En artefakt i prøven, der peger på dette, er det faktum, at den anden fils chunk-længde, som bruges til at overskrive den første fil, er tilfældigt bestemt og kan være så kort som 1 byte lang.
Data-destruktionsprocessen har heller ingen mekanisme til at fjerne filer fra korruptionskøen, hvilket betyder, at nogle filer kan blive overskrevet adskillige gange, før programmet afsluttes, mens andre måske aldrig er blevet valgt overhovedet, bemærkede forskerne.
Desuden ser den funktion, der skaber forekomsten af Eraser-klassen - passende navngivet "Erase" - ikke ud til at være fuldt implementeret i prøven, som forskere analyserede, da den ikke dekompileres korrekt, sagde de.
Hvorfor ødelægge i stedet for kryptere?
Udvikling data-korruption og destruktionskapacitet i stedet for at kryptere data har en række fordele for ransomware-aktører, bemærkede forskerne, især da dataeksfiltrering og dobbeltafpresning (dvs. truer med at lække stjålne data) er blevet en ret almindelig adfærd hos trusselsaktører. Dette har gjort det overflødigt og dyrt at udvikle stabil, sikker og hurtig ransomware til at kryptere filer sammenlignet med korrupte filer og bruge de eksfiltrerede kopier som middel til datagendannelse, sagde de.
Helt eliminering af kryptering kan også gøre processen hurtigere for RaaS-tilknyttede selskaber og undgå scenarier, hvor de mister overskud, fordi ofrene finder andre måder at dekryptere dataene på, bemærkede forskerne.
"Disse faktorer kulminerer i en berettiget sag for tilknyttede virksomheder, der forlader RaaS-modellen for at slå ud af sig selv," bemærkede Mayer, "erstatter udviklingstung ransomware med datadestruktion."
