Die von BlackCat/ALPHV eingesetzte Malware gibt dem Ransomware-Spiel eine neue Wendung, indem sie die Daten einer Organisation löscht und zerstört, anstatt sie nur zu verschlüsseln. Die Entwicklung gibt Forschern zufolge einen Ausblick darauf, in welche Richtung sich finanziell motivierte Cyberangriffe entwickeln dürften.
Forscher der Sicherheitsfirmen Cyderes und Stairwell haben beobachtet, dass im Zusammenhang mit der BlackCat/ALPHV-Ransomware ein .NET-Exfiltrationstool namens Exmatter eingesetzt wird, das nach bestimmten Dateitypen in ausgewählten Verzeichnissen sucht, sie auf von Angreifern kontrollierte Server hochlädt und die Dateien dann beschädigt und zerstört . Die einzige Möglichkeit, die Daten wiederherzustellen, besteht darin, die exfiltrierten Dateien von der Bande zurückzukaufen.
„Es wird gemunkelt, dass Ransomware Daten zerstören wird, aber wir haben sie noch nicht in freier Wildbahn gesehen“, so a Blog-Post kürzlich auf der Cyderes-Website veröffentlicht. Exmatter könnte bedeuten, dass der Wechsel stattfindet, und zeigen, dass Bedrohungsakteure aktiv dabei sind, solche Fähigkeiten bereitzustellen und zu entwickeln, so die Forscher.
Cyderes-Forscher führten eine erste Bewertung von Exmatter durch, dann entdeckte das Threat Research Team von Stairwell nach der Analyse der Malware „teilweise implementierte Datenvernichtungsfunktionen“. zu einem begleitenden Blogbeitrag.
„Der Einsatz der Datenvernichtung durch Akteure auf Affiliate-Ebene anstelle des Einsatzes von Ransomware-as-a-Service (RaaS) würde einen großen Wandel in der Datenerpressungslandschaft bedeuten und die Balkanisierung finanziell motivierter Eindringlingsakteure signalisieren, unter denen derzeit gearbeitet wird.“ die Banner von RaaS-Partnerprogrammen“, bemerkten der Stairwell-Bedrohungsforscher Daniel Mayer und Shelby Kaba, Direktor für Spezialoperationen bei Cyderes, in dem Beitrag.
Das Aufkommen dieser neuen Funktion in Exmatter ist eine Erinnerung an die sich schnell entwickelnde und immer ausgefeiltere Bedrohungslandschaft, da Bedrohungsakteure nach kreativeren Wegen suchen, um ihre Aktivitäten zu kriminalisieren, bemerkt ein Sicherheitsexperte.
„Entgegen der landläufigen Meinung geht es bei modernen Angriffen nicht immer nur um den Diebstahl von Daten, sondern es kann auch um Zerstörung, Störung, Datenbewaffnung, Desinformation und/oder Propaganda gehen“, sagt Rajiv Pimplaskar, CEO des sicheren Kommunikationsanbieters Dispersive Holdings, gegenüber Dark Reading.
Diese sich ständig weiterentwickelnden Bedrohungen erfordern, dass Unternehmen auch ihre Abwehrmaßnahmen verstärken und fortschrittliche Sicherheitslösungen einsetzen müssen, die ihre jeweiligen Angriffsflächen verstärken und sensible Ressourcen verschleiern, was sie von vornherein zu schwierigen Angriffszielen macht, fügt Pimplaskar hinzu.
Frühere Verbindungen zu BlackMatter
Die Analyse von Exmatter durch die Forscher ist nicht das erste Mal, dass ein Tool dieses Namens mit BlackCat/ALPHV in Verbindung gebracht wird. Es wird angenommen, dass diese Gruppe von ehemaligen Mitgliedern verschiedener Ransomware-Banden geleitet wird, darunter auch von inzwischen aufgelösten Schwarze Materie – verwendeten Exmatter im vergangenen Dezember und Januar, um Daten von Unternehmensopfern zu exfiltrieren, bevor sie Ransomware in einem doppelten Erpressungsangriff einsetzten, so Forscher von Kaspersky zuvor berichtet.
Tatsächlich nutzte Kaspersky Exmatter, auch bekannt als Fendr, um die BlackCat/ALPHV-Aktivität mit der von zu verknüpfen Schwarze Materie im Bedrohungsbrief, das Anfang des Jahres veröffentlicht wurde.
Das Beispiel von Exmatter, das die Forscher von Stairwell und Cyderes untersucht haben, ist eine ausführbare .NET-Datei, die für die Datenexfiltration mithilfe der Protokolle FTP, SFTP und webDAV entwickelt wurde und Funktionen zur Beschädigung der exfiltrierten Dateien auf der Festplatte enthält, erklärte Mayer. Das deckt sich mit dem gleichnamigen Tool von BlackMatter.
So funktioniert der Exmatter-Destruktor
Mithilfe einer Routine namens „Sync“ durchläuft die Malware die Laufwerke auf dem Computer des Opfers und generiert eine Warteschlange mit Dateien bestimmter und spezifischer Dateierweiterungen zur Exfiltration, es sei denn, sie befinden sich in einem Verzeichnis, das in der hartcodierten Blockliste der Malware angegeben ist.
Exmatter kann Dateien in der Warteschlange exfiltrieren, indem es sie auf eine vom Angreifer kontrollierte IP-Adresse hochlädt, sagte Mayer.
„Die exfiltrierten Dateien werden in einen Ordner mit demselben Namen wie der Hostname des Opfercomputers auf dem vom Akteur kontrollierten Server geschrieben“, erklärte er in dem Beitrag.
Der Datenvernichtungsprozess liegt innerhalb einer im Beispiel definierten Klasse mit dem Namen „Eraser“, die so konzipiert ist, dass sie gleichzeitig mit Sync ausgeführt wird, so die Forscher. Während Sync Dateien auf den vom Akteur kontrollierten Server hochlädt, fügt es Dateien, die erfolgreich auf den Remote-Server kopiert wurden, einer Warteschlange von Dateien hinzu, die von Eraser verarbeitet werden sollen, erklärte Mayer.
Eraser wählt zufällig zwei Dateien aus der Warteschlange aus und überschreibt Datei 1 mit einem Codeblock, der vom Anfang der zweiten Datei stammt, eine Korruptionstechnik, die möglicherweise als Umgehungstaktik gedacht ist, bemerkte er.
„Die Verwendung legitimer Dateidaten vom Computer des Opfers zur Beschädigung anderer Dateien kann eine Technik sein, um die heuristische Erkennung von Ransomware und Wipern zu vermeiden“, schrieb Mayer, „da das Kopieren von Dateidaten von einer Datei in eine andere viel plausibler ist.“ Funktionalität im Vergleich zum sequentiellen Überschreiben oder Verschlüsseln von Dateien mit zufälligen Daten.“ Mayer schrieb.
In Arbeit
Es gebe eine Reihe von Hinweisen, die darauf hindeuten, dass die Datenbeschädigungstechnik von Exmatter noch in Arbeit ist und daher von der Ransomware-Gruppe noch weiterentwickelt wird, stellten die Forscher fest.
Ein Artefakt im Beispiel, das darauf hindeutet, ist die Tatsache, dass die Blocklänge der zweiten Datei, die zum Überschreiben der ersten Datei verwendet wird, zufällig festgelegt wird und nur 1 Byte lang sein kann.
Der Datenvernichtungsprozess verfügt auch über keinen Mechanismus zum Entfernen von Dateien aus der Korruptionswarteschlange, was bedeutet, dass einige Dateien möglicherweise mehrmals überschrieben werden, bevor das Programm beendet wird, während andere möglicherweise überhaupt nicht ausgewählt wurden, stellten die Forscher fest.
Darüber hinaus scheint die Funktion, die die Instanz der Eraser-Klasse erstellt – treffend „Erase“ genannt – in der von den Forschern analysierten Stichprobe nicht vollständig implementiert zu sein, da sie nicht korrekt dekompiliert wird, sagten sie.
Warum zerstören statt verschlüsseln?
Entwicklung Möglichkeiten zur Datenbeschädigung und -vernichtung Die Forscher stellten fest, dass Ransomware-Akteure anstelle der Verschlüsselung von Daten eine Reihe von Vorteilen haben, insbesondere da Datenexfiltration und doppelte Erpressung (d. h. die Drohung, gestohlene Daten preiszugeben) zu einem recht häufigen Verhalten von Bedrohungsakteuren geworden sind. Dies habe die Entwicklung stabiler, sicherer und schneller Ransomware zur Verschlüsselung von Dateien im Vergleich zur Beschädigung von Dateien und der Verwendung der exfiltrierten Kopien zur Datenwiederherstellung überflüssig und kostspielig gemacht, sagten sie.
Die vollständige Eliminierung der Verschlüsselung kann den Prozess für RaaS-Partner auch beschleunigen und Szenarien vermeiden, in denen sie Gewinne verlieren, weil Opfer andere Wege finden, die Daten zu entschlüsseln, stellten die Forscher fest.
„Diese Faktoren gipfeln in einem berechtigten Fall dafür, dass Partner das RaaS-Modell verlassen und sich selbstständig machen“, bemerkte Mayer, „und entwicklungsintensive Ransomware durch Datenvernichtung zu ersetzen.“
