Η συμμορία BlackCat/ALPHV προσθέτει τη λειτουργικότητα των υαλοκαθαριστήρων ως τακτική Ransomware

Το κακόβουλο λογισμικό που διαχειρίζεται η BlackCat/ALPHV βάζει μια νέα περιστροφή στο παιχνίδι ransomware διαγράφοντας και καταστρέφοντας τα δεδομένα ενός οργανισμού αντί απλώς κρυπτογραφώντας τα. Η εξέλιξη παρέχει μια γεύση της κατεύθυνσης προς την οποία πιθανότατα κινούνται οι κυβερνοεπιθέσεις με οικονομικά κίνητρα, σύμφωνα με ερευνητές.

Ερευνητές από τις εταιρείες ασφαλείας Cyderes και Stairwell παρατήρησαν ότι αναπτύσσεται ένα εργαλείο εξαγωγής .NET σε σχέση με το BlackCat/ALPHV ransomware που ονομάζεται Exmatter το οποίο αναζητά συγκεκριμένους τύπους αρχείων από επιλεγμένους καταλόγους, τους ανεβάζει σε διακομιστές που ελέγχονται από τους εισβολείς και στη συνέχεια καταστρέφει και καταστρέφει τα αρχεία . Ο μόνος τρόπος για να ανακτήσετε τα δεδομένα είναι να αγοράσετε τα αρχεία που έχουν διεισδύσει πίσω από τη συμμορία.

«Η καταστροφή δεδομένων φημολογείται ότι είναι εκεί που πρόκειται να φτάσει το ransomware, αλλά στην πραγματικότητα δεν το έχουμε δει στη φύση», σύμφωνα με μια ανάρτηση δημοσιεύτηκε πρόσφατα στον ιστότοπο Cyderes. Το Exmatter θα μπορούσε να σημαίνει ότι η αλλαγή συμβαίνει, αποδεικνύοντας ότι οι παράγοντες της απειλής βρίσκονται ενεργά στη διαδικασία εγκατάστασης και ανάπτυξης αυτής της ικανότητας, είπαν οι ερευνητές.

Οι ερευνητές της Cyderes πραγματοποίησαν μια αρχική αξιολόγηση του Exmatter και, στη συνέχεια, η ερευνητική ομάδα του Stairwell's Threat ανακάλυψε "λειτουργικότητα καταστροφής δεδομένων μερικής εφαρμογής" μετά την ανάλυση του κακόβουλου λογισμικού, σύμφωνα με σε μια συνοδευτική ανάρτηση ιστολογίου.

«Η χρήση της καταστροφής δεδομένων από φορείς σε επίπεδο θυγατρικών αντί για ανάπτυξη ransomware-as-a-service (RaaS) θα σηματοδοτούσε μια μεγάλη αλλαγή στο τοπίο της εκβίασης δεδομένων και θα σηματοδοτούσε τη βαλκανοποίηση των παραγόντων εισβολής με οικονομικά κίνητρα που εργάζονται επί του παρόντος τα πανό των θυγατρικών προγραμμάτων της RaaS», σημείωσαν στην ανάρτηση ο ερευνητής απειλών του Stairwell, Daniel Mayer και η Shelby Kaba, διευθύντρια ειδικών επιχειρήσεων στο Cyderes.

Η εμφάνιση αυτής της νέας ικανότητας στο Exmatter είναι μια υπενθύμιση του ταχέως εξελισσόμενου και ολοένα πιο εξελιγμένου τοπίου απειλών, καθώς οι φορείς απειλών περιστρέφονται για να βρουν πιο δημιουργικούς τρόπους ποινικοποίησης της δραστηριότητάς τους, σημειώνει ένας ειδικός σε θέματα ασφάλειας.

«Σε αντίθεση με τη δημοφιλή πεποίθηση, οι σύγχρονες επιθέσεις δεν αφορούν πάντα μόνο την κλοπή δεδομένων, αλλά μπορεί να αφορούν καταστροφή, διακοπή, οπλισμό δεδομένων, παραπληροφόρηση ή/και προπαγάνδα», λέει στο Dark Reading ο Rajiv Pimplaskar, Διευθύνων Σύμβουλος της εταιρείας ασφαλών επικοινωνιών Dispersive Holdings.

Αυτές οι διαρκώς εξελισσόμενες απειλές απαιτούν από τις επιχειρήσεις να ακονίσουν την άμυνά τους και να αναπτύξουν προηγμένες λύσεις ασφαλείας που σκληραίνουν τις αντίστοιχες επιφάνειες επίθεσης και θολώνουν τους ευαίσθητους πόρους, γεγονός που θα τις κάνει δύσκολους στόχους στην πρώτη θέση, προσθέτει ο Pimplaskar.

Προηγούμενοι δεσμοί με το BlackMatter

Η ανάλυση του Exmatter από τους ερευνητές δεν είναι η πρώτη φορά που ένα εργαλείο με αυτό το όνομα συσχετίζεται με το BlackCat/ALPHV. Αυτή η ομάδα — που πιστεύεται ότι διοικείται από πρώην μέλη διαφόρων συμμοριών ransomware, συμπεριλαμβανομένων εκείνων από τώρα BlackMatter — χρησιμοποίησε το Exmatter για να εξάγει δεδομένα από εταιρικά θύματα τον περασμένο Δεκέμβριο και Ιανουάριο, πριν αναπτύξει ransomware σε μια επίθεση διπλού εκβιασμού, ερευνητές από την Kaspersky που αναφέρθηκαν προηγουμένως.

Στην πραγματικότητα, η Kaspersky χρησιμοποίησε το Exmatter, επίσης γνωστό ως Fendr, για να συνδέσει τη δραστηριότητα BlackCat/ALPHV με αυτή του BlackMatter στη σύντομη απειλή, που δημοσιεύτηκε νωρίτερα φέτος.

Το δείγμα του Exmatter που εξέτασαν οι ερευνητές του Stairwell και του Cyderes είναι ένα εκτελέσιμο αρχείο .NET σχεδιασμένο για εξαγωγή δεδομένων χρησιμοποιώντας πρωτόκολλα FTP, SFTP και webDAV και περιέχει λειτουργικότητα για την καταστροφή των αρχείων στο δίσκο που έχουν υποβληθεί σε εξαγωγή, εξήγησε ο Mayer. Αυτό ευθυγραμμίζεται με το ομώνυμο εργαλείο του BlackMatter.

Πώς λειτουργεί το Exmatter Destructor

Χρησιμοποιώντας μια ρουτίνα που ονομάζεται "Συγχρονισμός", το κακόβουλο λογισμικό επαναλαμβάνεται μέσω των μονάδων δίσκου στο μηχάνημα-θύμα, δημιουργώντας μια ουρά αρχείων ορισμένων και συγκεκριμένων επεκτάσεων αρχείων για εξαγωγή, εκτός εάν βρίσκονται σε έναν κατάλογο που καθορίζεται στη λίστα αποκλεισμού του κακόβουλου κώδικα με σκληρό κώδικα.

Το Exmatter μπορεί να εκμεταλλευτεί τα αρχεία σε ουρά ανεβάζοντάς τα σε μια διεύθυνση IP που ελέγχεται από τους εισβολείς, είπε ο Mayer.

«Τα αρχεία που έχουν διεξαχθεί γράφονται σε έναν φάκελο με το ίδιο όνομα με το όνομα κεντρικού υπολογιστή του μηχανήματος θύματος στον διακομιστή που ελέγχεται από τους ηθοποιούς», εξήγησε στην ανάρτηση.

Η διαδικασία καταστροφής δεδομένων βρίσκεται μέσα σε μια κλάση που ορίζεται στο δείγμα με το όνομα "Eraser" που έχει σχεδιαστεί για να εκτελείται ταυτόχρονα με το Sync, είπαν οι ερευνητές. Καθώς το Sync ανεβάζει αρχεία στον διακομιστή που ελέγχεται από τους ηθοποιούς, προσθέτει αρχεία που έχουν αντιγραφεί επιτυχώς στον απομακρυσμένο διακομιστή σε μια ουρά αρχείων προς επεξεργασία από το Eraser, εξήγησε ο Mayer.

Η Eraser επιλέγει τυχαία δύο αρχεία από την ουρά και αντικαθιστά το Αρχείο 1 με ένα κομμάτι κώδικα που έχει ληφθεί από την αρχή του δεύτερου αρχείου, μια τεχνική καταστροφής που μπορεί να προορίζεται ως τακτική αποφυγής, σημείωσε.

«Η πράξη της χρήσης νόμιμων δεδομένων αρχείων από το μηχάνημα του θύματος για την καταστροφή άλλων αρχείων μπορεί να είναι μια τεχνική για την αποφυγή ανίχνευσης βάσει ευρετικών προγραμμάτων για ransomware και υαλοκαθαριστήρες», έγραψε ο Mayer, «καθώς η αντιγραφή δεδομένων αρχείου από το ένα αρχείο στο άλλο είναι πολύ πιο εύλογο. λειτουργικότητα σε σύγκριση με τη διαδοχική αντικατάσταση αρχείων με τυχαία δεδομένα ή την κρυπτογράφηση τους." έγραψε ο Mayer.

Εργασία σε εξέλιξη

Υπάρχουν πολλές ενδείξεις που υποδεικνύουν ότι η τεχνική καταστροφής δεδομένων του Exmatter είναι ένα έργο σε εξέλιξη και επομένως εξακολουθεί να αναπτύσσεται από την ομάδα ransomware, σημείωσαν οι ερευνητές.

Ένα τεχνούργημα στο δείγμα που υποδεικνύει αυτό είναι το γεγονός ότι το μήκος κομματιού του δεύτερου αρχείου, το οποίο χρησιμοποιείται για την αντικατάσταση του πρώτου αρχείου, αποφασίζεται τυχαία και μπορεί να είναι τόσο μικρό όσο 1 byte.

Η διαδικασία καταστροφής δεδομένων δεν έχει επίσης μηχανισμό για την αφαίρεση αρχείων από την ουρά καταστροφής, πράγμα που σημαίνει ότι ορισμένα αρχεία μπορεί να αντικατασταθούν πολλές φορές πριν από τον τερματισμό του προγράμματος, ενώ άλλα μπορεί να μην έχουν επιλεγεί ποτέ καθόλου, σημείωσαν οι ερευνητές.

Επιπλέον, η συνάρτηση που δημιουργεί το στιγμιότυπο της κλάσης Eraser - που εύστοχα ονομάζεται "Erase" - δεν φαίνεται να εφαρμόζεται πλήρως στο δείγμα που ανέλυσαν οι ερευνητές, καθώς δεν απομεταγλωττίζεται σωστά, είπαν.

Γιατί να καταστρέψεις αντί για κρυπτογράφηση;

Ανάπτυξη δυνατότητες καταστροφής και καταστροφής δεδομένων Αντί της κρυπτογράφησης δεδομένων έχει μια σειρά από πλεονεκτήματα για τους φορείς ransomware, σημείωσαν οι ερευνητές, ειδικά καθώς η διείσδυση δεδομένων και η διπλή εκβίαση (δηλαδή, η απειλή για διαρροή κλεμμένων δεδομένων) έχει γίνει μια μάλλον κοινή συμπεριφορά των παραγόντων απειλών. Αυτό έχει κάνει την ανάπτυξη σταθερού, ασφαλούς και γρήγορου ransomware για την κρυπτογράφηση αρχείων περιττή και δαπανηρή σε σύγκριση με την καταστροφή αρχείων και τη χρήση των αντιγράφων που έχουν διεισδύσει ως μέσο ανάκτησης δεδομένων, είπαν.

Η εξάλειψη της κρυπτογράφησης μπορεί επίσης να κάνει τη διαδικασία πιο γρήγορη για τις θυγατρικές της RaaS, αποφεύγοντας σενάρια στα οποία χάνουν κέρδη επειδή τα θύματα βρίσκουν άλλους τρόπους για να αποκρυπτογραφήσουν τα δεδομένα, σημείωσαν οι ερευνητές.

«Αυτοί οι παράγοντες καταλήγουν σε μια δικαιολογημένη περίπτωση για τις θυγατρικές που αφήνουν το μοντέλο RaaS να ξεφύγουν από μόνες τους», παρατήρησε ο Mayer, «αντικαθιστώντας το βαρύ για ανάπτυξη ransomware με την καταστροφή δεδομένων».