BlackCati/ALPHV pahavara annab lunavaramängule uue pöörde, kustutades ja hävitades organisatsiooni andmed, mitte lihtsalt neid krüpteerida. Teadlaste sõnul annab see areng ülevaate suunas, kuhu tõenäoliselt liiguvad rahaliselt motiveeritud küberrünnakud.
Turvafirmade Cyderes ja Stairwell teadlased on täheldanud BlackCat/ALPHV lunavaraga seoses kasutusele võetud .NET-i eksfiltreerimistööriista nimega Exmatter, mis otsib valitud kataloogidest kindlaid failitüüpe, laadib need üles ründaja kontrollitavatesse serveritesse ning seejärel rikub ja hävitab failid. . Ainus viis andmete hankimiseks on väljafiltreeritud failid rühmalt tagasi osta.
"Kuuldatakse, et andmete hävitamine on koht, kus lunavara hakkab minema, kuid me pole seda looduses tegelikult näinud," ütles üks blogi postitus avaldati hiljuti Cyderesi veebisaidil. Teadlased ütlesid, et Exmatter võib viidata sellele, et üleminek toimub, näidates, et ohus osalejad tegelevad aktiivselt sellise võime lavastamise ja arendamise protsessiga.
Cyderesi teadlased hindasid Exmatterit esialgselt, seejärel avastas Stairwelli ohtude uurimisrühm pärast pahavara analüüsimist "osaliselt rakendatud andmete hävitamise funktsiooni". kaaslase blogipostituse juurde.
„Andmete hävitamise kasutamine sidusettevõtete tasandi osalejate poolt lunavara kui teenuse (RaaS) juurutamise asemel tähistaks suurt nihet andmete väljapressimise maastikul ja annaks märku praegu töötavate rahaliselt motiveeritud sissetungijate balkaniseerumisest. RaaS-i sidusprogrammide bännerid,” märkisid postituses Stairwelli ohtude uurija Daniel Mayer ja Cyderesi erioperatsioonide direktor Shelby Kaba.
Selle uue võimaluse ilmumine Exmatteris tuletab meelde kiiresti arenevat ja üha keerukamat ohumaastikku, kuna ohus osalejad otsivad loovamaid viise oma tegevuse kriminaliseerimiseks, märgib üks turvaekspert.
"Vastupidiselt levinud arvamusele ei seisne kaasaegsed rünnakud alati ainult andmete varastamises, vaid võivad olla seotud hävitamise, katkestamise, andmete relvastamise, desinformatsiooni ja/või propagandaga," ütleb turvalise side pakkuja Dispersive Holdings tegevjuht Rajiv Pimplaskar Dark Readingile.
Pimplaskar lisab, et need pidevalt arenevad ohud nõuavad, et ettevõtted peavad oma kaitset teravdama ja kasutusele võtma täiustatud turbelahendused, mis tugevdavad nende vastavaid rünnakupindu ja hägustab tundlikke ressursse, mis muudab need rünnatavad sihtmärgiks.
Varasemad sidemed BlackMatteriga
Teadlaste Exmatteri analüüs ei ole esimene kord, kui sellenimelist tööriista BlackCat/ALPHV-ga seostatakse. Seda gruppi juhivad arvatavasti erinevate lunavarajõugude endised liikmed, sealhulgas need, kes on nüüdseks kadunud. BlackMatter Kaspersky teadlased kasutasid Exmatterit eelmise aasta detsembris ja jaanuaris ettevõtete ohvrite andmete väljafiltreerimiseks enne lunavara kasutuselevõttu topeltväljapressimise rünnakus. varem teatatud.
Tegelikult kasutas Kaspersky Exmatterit, tuntud ka kui Fendr, et seostada BlackCati/ALPHV tegevust BlackMatter ohuteates, mis ilmus selle aasta alguses.
Exmatteri näidis, mida Stairwelli ja Cyderesi teadlased uurisid, on .NET-i käivitatav fail, mis on loodud andmete eksfiltreerimiseks, kasutades FTP-, SFTP- ja webDAV-protokolle, ning sisaldab funktsioone, mis võimaldavad rikkuda väljafiltreeritud kettal olevaid faile, selgitas Mayer. See ühtib BlackMatteri samanimelise tööriistaga.
Kuidas Exmatteri hävitaja töötab
Kasutades rutiini nimega „Sünkroonimine”, itereerib pahavara ohvri masina draivide kaudu, luues järjekorra teatud ja spetsiifiliste faililaienditega failidest väljafiltreerimiseks, välja arvatud juhul, kui need asuvad kataloogis, mis on määratud pahavara kõvakoodiga blokeerimisloendis.
Mayer ütles, et Exmatter saab järjekorras olevatest failidest välja filtreerida, laadides need üles ründaja kontrollitavale IP-aadressile.
"Eksfiltreeritud failid kirjutatakse näitleja juhitavas serveris kausta, millel on sama nimi kui ohvri masina hostinimi," selgitas ta postituses.
Teadlased ütlesid, et andmete hävitamise protsess on klassis, mis on määratletud proovis nimega "Eraser", mis on loodud töötama samaaegselt sünkroonimisega. Kuna Sync laadib failid üles näitleja juhitavasse serverisse, lisab see edukalt kaugserverisse kopeeritud failid Eraseri poolt töödeldavate failide järjekorda, selgitas Mayer.
Ta märkis, et Eraser valib järjekorrast juhuslikult kaks faili ja kirjutab faili 1 üle koodilõiguga, mis on võetud teise faili algusest. See on korruptsioonitehnika, mis võib olla mõeldud kõrvalehoidmistaktikaks.
"Ohvri masina seaduslike failiandmete kasutamine teiste failide rikkumiseks võib olla meetod, mis väldib lunavara ja klaasipuhastite heuristilist tuvastamist," kirjutas Mayer, "kuna failiandmete kopeerimine ühest failist teise on palju tõenäolisem. funktsionaalsus võrreldes juhuslike andmetega failide järjestikuse ülekirjutamise või nende krüptimisega. Mayer kirjutas.
Töö käib
Teadlased märkisid, et on mitmeid vihjeid, mis viitavad sellele, et Exmatteri andmekorruptsioonitehnika on pooleli ja seetõttu arendab seda veel lunavaragrupp.
Üks artefakt näidis, mis sellele viitab, on asjaolu, et teise faili tüki pikkus, mida kasutatakse esimese faili ülekirjutamiseks, määratakse juhuslikult ja see võib olla kuni 1 bait pikk.
Teadlased märkisid, et andmete hävitamise protsessil puudub ka mehhanism failide eemaldamiseks korruptsioonijärjekorrast, mis tähendab, et mõned failid võidakse enne programmi lõpetamist mitu korda üle kirjutada, samas kui teised ei pruugi olla üldse valitud.
Veelgi enam, funktsioon, mis loob Eraseri klassi eksemplari – sobiva nimega "Erase" - ei tundu olevat teadlaste analüüsitud valimis täielikult rakendatud, kuna see ei dekompileeri õigesti, ütlesid nad.
Miks krüptimise asemel hävitada?
Arenev andmete rikkumise ja hävitamise võimalused Teadlased märkisid, et andmete krüpteerimise asemel on lunavaras osalejatele mitmeid eeliseid, eriti kuna andmete väljapressimine ja topeltväljapressimine (st varastatud andmete lekitamisega ähvardamine) on muutunud ohus osalejate üsna tavaliseks käitumiseks. Nad ütlesid, et see on muutnud failide krüptimiseks stabiilse, turvalise ja kiire lunavara arendamise üleliigseks ja kulukaks võrreldes failide rikkumise ja väljafiltreeritud koopiate kasutamisega andmete taastamise vahendina.
Teadlased märkisid, et krüptimise täielik kõrvaldamine võib protsessi kiirendada ka RaaS-i sidusettevõtete jaoks, vältides stsenaariume, mille korral nad kaotavad kasumit, kuna ohvrid leiavad muid viise andmete dekrüpteerimiseks.
"Need tegurid kulmineeruvad põhjendatud juhtumiga, kui sidusettevõtted lahkuvad RaaS-i mudelist, et need üksi välja lüüa," märkis Mayer, "asendades arendusmahuka lunavara andmete hävitamisega."
