BlackCat/ALPHV Gang agrega funcionalidad de limpiaparabrisas como táctica de ransomware

El malware utilizado por BlackCat/ALPHV está dando un nuevo giro al juego del ransomware al eliminar y destruir los datos de una organización en lugar de simplemente cifrarlos. Según los investigadores, este desarrollo ofrece una idea de la dirección en la que probablemente se dirigen los ciberataques con motivación financiera.

Investigadores de las firmas de seguridad Cyderes y Stairwell han observado que se implementa una herramienta de exfiltración .NET en relación con el ransomware BlackCat/ALPHV llamada Exmatter que busca tipos de archivos específicos de directorios seleccionados, los carga en servidores controlados por el atacante y luego corrompe y destruye los archivos. . La única forma de recuperar los datos es comprando los archivos exfiltrados a la pandilla.

"Se rumorea que la destrucción de datos es el destino del ransomware, pero en realidad no lo hemos visto en la naturaleza", según un del blog publicado recientemente en el sitio web de Cyderes. Exmatter podría significar que el cambio se está produciendo, lo que demuestra que los actores de amenazas están activamente en el proceso de organizar y desarrollar dicha capacidad, dijeron los investigadores.

Los investigadores de Cyderes realizaron una evaluación inicial de Exmatter, luego el equipo de investigación de amenazas de Stairwell descubrió una "funcionalidad de destrucción de datos parcialmente implementada" después de analizar el malware, según a una publicación de blog complementaria.

“El uso de la destrucción de datos por parte de actores a nivel de afiliados en lugar de la implementación de ransomware como servicio (RaaS) marcaría un gran cambio en el panorama de la extorsión de datos y señalaría la balcanización de los actores de intrusión con motivación financiera que actualmente trabajan bajo los carteles de los programas afiliados de RaaS”, señalaron en la publicación el investigador de amenazas de Stairwell, Daniel Mayer, y Shelby Kaba, directora de operaciones especiales de Cyderes.

La aparición de esta nueva capacidad en Exmatter es un recordatorio del panorama de amenazas cada vez más sofisticado y en rápida evolución a medida que los actores de amenazas giran para encontrar formas más creativas de criminalizar su actividad, señala un experto en seguridad.

"Contrariamente a la creencia popular, los ataques modernos no siempre consisten solo en robar datos, sino que también pueden implicar destrucción, interrupción, utilización de datos como arma, desinformación y/o propaganda", le dice a Dark Reading Rajiv Pimplaskar, director ejecutivo del proveedor de comunicaciones seguras Dispersive Holdings.

Estas amenazas en constante evolución exigen que las empresas también agudicen sus defensas e implementen soluciones de seguridad avanzadas que refuercen sus respectivas superficies de ataque y oculten los recursos sensibles, lo que las convertirá en objetivos difíciles de atacar en primer lugar, añade Pimplaskar.

Vínculos anteriores con BlackMatter

El análisis de Exmatter realizado por los investigadores no es la primera vez que una herramienta con este nombre se asocia con BlackCat/ALPHV. Ese grupo, que se cree que está dirigido por ex miembros de varias bandas de ransomware, incluidas las ya desaparecidas. Materia Negra – utilizó Exmatter para extraer datos de víctimas corporativas en diciembre y enero pasados, antes de implementar ransomware en un ataque de doble extorsión, investigadores de Kaspersky reportado previamente.

De hecho, Kaspersky utilizó Exmatter, también conocido como Fendr, para vincular la actividad de BlackCat/ALPHV con la de Materia Negra en el informe de amenazas, que se publicó a principios de este año.

La muestra de Exmatter que examinaron los investigadores de Stairwell y Cyderes es un ejecutable .NET diseñado para la exfiltración de datos utilizando protocolos FTP, SFTP y webDAV, y contiene funcionalidad para corromper los archivos en el disco que han sido exfiltrados, explicó Mayer. Esto se alinea con la herramienta del mismo nombre de BlackMatter.

Cómo funciona el destructor de exmateria

Utilizando una rutina llamada "Sincronización", el malware recorre las unidades de la máquina víctima, generando una cola de archivos de extensiones de archivo determinadas y específicas para su filtración, a menos que estén ubicados en un directorio especificado en la lista de bloqueo codificada del malware.

Exmatter puede filtrar archivos en cola cargándolos en una dirección IP controlada por el atacante, dijo Mayer.

"Los archivos exfiltrados se escriben en una carpeta con el mismo nombre que el nombre de host de la máquina víctima en el servidor controlado por el actor", explicó en la publicación.

El proceso de destrucción de datos se encuentra dentro de una clase definida dentro de la muestra llamada "Eraser" que está diseñada para ejecutarse simultáneamente con Sync, dijeron los investigadores. A medida que Sync carga archivos en el servidor controlado por el actor, agrega archivos que se han copiado exitosamente al servidor remoto a una cola de archivos para ser procesados ​​por Eraser, explicó Mayer.

Eraser selecciona dos archivos al azar de la cola y sobrescribe el Archivo 1 con un fragmento de código tomado del principio del segundo archivo, una técnica de corrupción que puede ser una táctica de evasión, señaló.

"El acto de utilizar datos de archivos legítimos de la máquina víctima para corromper otros archivos puede ser una técnica para evitar la detección heurística de ransomware y limpiadores", escribió Mayer, "ya que copiar datos de archivos de un archivo a otro es mucho más plausiblemente benigno". funcionalidad en comparación con sobrescribir archivos secuencialmente con datos aleatorios o cifrarlos”. Mayer escribió.

Trabajo en progreso

Hay una serie de pistas que indican que la técnica de corrupción de datos de Exmatter es un trabajo en progreso y, por lo tanto, aún está siendo desarrollada por el grupo de ransomware, señalaron los investigadores.

Un artefacto en la muestra que apunta a esto es el hecho de que la longitud del fragmento del segundo archivo, que se utiliza para sobrescribir el primer archivo, se decide aleatoriamente y podría tener tan solo 1 byte de longitud.

El proceso de destrucción de datos tampoco tiene ningún mecanismo para eliminar archivos de la cola de corrupción, lo que significa que algunos archivos pueden sobrescribirse varias veces antes de que finalice el programa, mientras que es posible que otros nunca hayan sido seleccionados, anotaron los investigadores.

Además, la función que crea la instancia de la clase Eraser, acertadamente llamada "Borrar", no parece estar completamente implementada en la muestra que analizaron los investigadores, ya que no se descompila correctamente, dijeron.

¿Por qué destruir en lugar de cifrar?

Desarrollo Capacidades de corrupción y destrucción de datos. En lugar de cifrar datos, los investigadores señalaron que tiene una serie de beneficios para los actores de ransomware, especialmente porque la exfiltración de datos y la doble extorsión (es decir, amenazar con filtrar datos robados) se ha convertido en un comportamiento bastante común de los actores de amenazas. Esto ha hecho que el desarrollo de ransomware estable, seguro y rápido para cifrar archivos sea redundante y costoso en comparación con corromper archivos y utilizar copias exfiltradas como medio de recuperación de datos, dijeron.

Eliminar el cifrado por completo también puede hacer que el proceso sea más rápido para los afiliados de RaaS, evitando escenarios en los que pierden ganancias porque las víctimas encuentran otras formas de descifrar los datos, señalaron los investigadores.

"Estos factores culminan en un caso justificable para que los afiliados abandonen el modelo RaaS y se lancen por su cuenta", observó Mayer, "reemplazando el ransomware de alto desarrollo con destrucción de datos".