BlackCat/ALPHV Gang عملکرد برف پاک کن را به عنوان تاکتیک باج افزار PlatoBlockchain Data Intelligence اضافه می کند. جستجوی عمودی Ai.

BlackCat/ALPHV Gang عملکرد برف پاک کن را به عنوان تاکتیک باج افزار اضافه می کند

تمبر زمانی: 27 سپتامبر 2022، 9:51 صبح

بدافزاری که BlackCat/ALPHV از آن استفاده می‌کند، با حذف و از بین بردن داده‌های سازمان به جای رمزگذاری صرف، چرخشی جدیدی را در بازی باج‌افزار ایجاد می‌کند. به گفته محققان، این توسعه نگاهی اجمالی از مسیری را ارائه می دهد که حملات سایبری با انگیزه مالی احتمالاً به سمت آن می روند.

محققان شرکت‌های امنیتی Cyderes و Stairwell مشاهده کرده‌اند که در رابطه با باج‌افزار BlackCat/ALPHV به نام Exmatter یک ابزار استخراج دات‌نت را مشاهده کرده‌اند که انواع فایل‌های خاصی را از فهرست‌های انتخاب‌شده جستجو می‌کند، آنها را در سرورهای کنترل شده توسط مهاجم آپلود می‌کند و سپس فایل‌ها را خراب و نابود می‌کند. . تنها راه برای بازیابی داده ها، خرید فایل های استخراج شده از باند است.

طبق یک گزارش، «شایعه می‌شود که تخریب داده‌ها جایی است که قرار است باج‌افزار برود، اما ما در واقع آن را در طبیعت ندیده‌ایم». پست های وبلاگ اخیراً در وب سایت Cyderes منتشر شده است. محققان گفتند که Exmatter می تواند نشان دهنده این باشد که تغییر در حال رخ دادن است و نشان می دهد که بازیگران تهدید به طور فعال در فرآیند صحنه سازی و توسعه چنین قابلیتی هستند.

به گفته محققان Cyderes ارزیابی اولیه Exmatter را انجام دادند، سپس تیم تحقیقاتی Stairwell's Threat پس از تجزیه و تحلیل بدافزار "عملکرد تخریب داده های نیمه اجرا شده" را کشف کردند. به یک پست وبلاگ همراه.

استفاده از تخریب داده‌ها توسط بازیگران سطح وابسته به جای استقرار باج‌افزار به‌عنوان یک سرویس (RaaS) تغییر بزرگی در چشم‌انداز اخاذی داده‌ها را نشان می‌دهد و نشان‌دهنده بالکانیزاسیون بازیگران نفوذی با انگیزه مالی است که در حال حاضر تحت کار می‌کنند. دانیل مایر، محقق تهدید Stairwell و شلبی کابا، مدیر عملیات ویژه در Cyderes، در این پست اشاره کردند.

یک کارشناس امنیتی خاطرنشان می‌کند که ظهور این قابلیت جدید در Exmatter یادآور چشم‌انداز تهدید به سرعت در حال تکامل و پیچیده‌تر است، زیرا بازیگران تهدید برای یافتن راه‌های خلاقانه‌تر برای جرم‌انگاری فعالیت‌های خود می‌گردند.

راجیو پیمپلاسکار، مدیرعامل شرکت تامین کننده ارتباطات امن Dispersive Holdings، به Dark Reading می گوید: «برخلاف تصور عمومی، حملات مدرن همیشه فقط برای سرقت داده ها نیستند، بلکه می توانند در مورد تخریب، اختلال، سلاح سازی داده ها، اطلاعات نادرست و/یا تبلیغات باشند.

Pimplaskar می افزاید: این تهدیدات همیشه در حال تحول مستلزم آن است که شرکت ها همچنین باید دفاع خود را تیزتر کنند و راه حل های امنیتی پیشرفته ای را به کار گیرند که سطوح حمله مربوطه را سخت تر کرده و منابع حساس را مبهم می کند، که در وهله اول آنها را به اهداف دشواری برای حمله تبدیل می کند.

پیوندهای قبلی با BlackMatter

تجزیه و تحلیل محققان از Exmatter اولین بار نیست که ابزاری به این نام با BlackCat/ALPHV مرتبط می شود. آن گروه - گمان می‌رود که توسط اعضای سابق باج‌افزارهای مختلف، از جمله آنهایی که اکنون از بین رفته‌اند، اداره می‌شود. BlackMatter - محققان کسپرسکی از Exmatter برای استخراج داده‌های قربانیان شرکتی در دسامبر و ژانویه گذشته قبل از استقرار باج‌افزار در یک حمله اخاذی مضاعف استفاده کردند. قبلاً گزارش شده.

در واقع، کسپرسکی از Exmatter که به نام Fendr نیز شناخته می شود، برای پیوند دادن فعالیت BlackCat/ALPHV با BlackMatter در خلاصه تهدید، که اوایل امسال منتشر شد.

مایر توضیح داد که نمونه Exmatter که محققان Stairwell و Cyderes مورد بررسی قرار دادند یک فایل اجرایی دات نت است که برای استخراج داده ها با استفاده از پروتکل های FTP، SFTP و webDAV طراحی شده است و دارای عملکردی برای خراب کردن فایل های روی دیسک است که استخراج شده اند. که با ابزار BlackMatter به همین نام هماهنگ است.

چگونه Exmatter Destructor کار می کند

با استفاده از روتینی به نام «همگام‌سازی»، بدافزار از طریق درایوهای دستگاه قربانی تکرار می‌شود و صفی از فایل‌های پسوند فایل خاص و خاص را برای استخراج ایجاد می‌کند، مگر اینکه در فهرستی که در فهرست بلاک‌کد سخت‌شده بدافزار مشخص شده است قرار داشته باشند.

مایر گفت که Exmatter می‌تواند فایل‌های در صف را با آپلود آن‌ها در یک آدرس IP کنترل‌شده توسط مهاجم، استخراج کند.

او در این پست توضیح داد: "فایل های استخراج شده در پوشه ای با نام میزبان ماشین قربانی در سرور کنترل شده توسط بازیگر نوشته می شوند."

به گفته محققان، فرآیند تخریب داده ها در یک کلاس تعریف شده در نمونه به نام "Eraser" قرار دارد که برای اجرای همزمان با Sync طراحی شده است. مایر توضیح داد که همانطور که Sync فایل ها را در سرور کنترل شده توسط بازیگر آپلود می کند، فایل هایی را که با موفقیت در سرور راه دور کپی شده اند به صفی از فایل ها اضافه می کند تا توسط Eraser پردازش شوند.

او خاطرنشان کرد که Eraser دو فایل را به‌طور تصادفی از صف انتخاب می‌کند و فایل 1 را با تکه‌ای از کد که از ابتدای فایل دوم گرفته شده است، بازنویسی می‌کند.

مایر نوشت: «عمل استفاده از داده‌های فایل قانونی از دستگاه قربانی برای خراب کردن فایل‌های دیگر ممکن است تکنیکی برای جلوگیری از شناسایی مبتنی بر اکتشاف برای باج‌افزار و پاک‌کننده‌ها باشد، زیرا کپی کردن داده‌های فایل از یک فایل به فایل دیگر به‌طور معقول‌تری خوش‌خیم‌تر است. عملکرد در مقایسه با بازنویسی متوالی فایل ها با داده های تصادفی یا رمزگذاری آنها." مایر نوشت.

کار در حال انجام

محققان خاطرنشان کردند که تعدادی سرنخ وجود دارد که نشان می دهد تکنیک تخریب داده Exmatter در حال پیشرفت است و بنابراین هنوز توسط گروه باج افزار در حال توسعه است.

یکی از مصنوعات نمونه که به این موضوع اشاره می کند این واقعیت است که طول تیکه فایل دوم، که برای بازنویسی فایل اول استفاده می شود، به طور تصادفی انتخاب می شود و می تواند به اندازه 1 بایت کوتاه باشد.

محققان خاطرنشان کردند که فرآیند تخریب داده ها همچنین مکانیسمی برای حذف فایل ها از صف خرابی ندارد، به این معنی که برخی از فایل ها ممکن است چندین بار قبل از پایان برنامه بازنویسی شوند، در حالی که برخی دیگر ممکن است اصلا انتخاب نشده باشند.

علاوه بر این، تابعی که نمونه کلاس Eraser را ایجاد می‌کند - به‌خوبی با نام "Erase" - در نمونه‌ای که محققان تجزیه و تحلیل کردند، به‌طور کامل پیاده‌سازی نمی‌شود، زیرا به‌طور صحیح دیکامپایل نمی‌شود.

چرا به جای رمزگذاری، نابود کنیم؟

در حال توسعه قابلیت‌های فساد و تخریب داده‌ها محققان خاطرنشان کردند که به‌جای رمزگذاری داده‌ها، چندین مزیت برای بازیگران باج‌افزار دارد، به‌ویژه از آنجایی که استخراج داده‌ها و اخاذی مضاعف (یعنی تهدید به افشای اطلاعات دزدیده شده) به یک رفتار نسبتاً رایج بازیگران تهدید تبدیل شده است. آنها گفتند که این باعث شده است که توسعه باج‌افزاری پایدار، ایمن و سریع برای رمزگذاری فایل‌ها در مقایسه با فایل‌های خراب و استفاده از نسخه‌های استخراج‌شده به عنوان ابزار بازیابی اطلاعات، اضافی و پرهزینه باشد.

محققین خاطرنشان کردند که حذف رمزگذاری به طور کامل همچنین می‌تواند فرآیند را برای شرکت‌های وابسته به RaaS سریع‌تر کند و از سناریوهایی که در آن سود را از دست می‌دهند اجتناب کنند، زیرا قربانیان راه‌های دیگری برای رمزگشایی داده‌ها پیدا می‌کنند.

مایر مشاهده کرد: «این عوامل در یک مورد توجیه‌پذیر برای شرکت‌های وابسته که مدل RaaS را ترک می‌کنند به اوج می‌رسد. 

تمبر زمان:

بیشتر از تاریک خواندن