بدافزاری که BlackCat/ALPHV از آن استفاده میکند، با حذف و از بین بردن دادههای سازمان به جای رمزگذاری صرف، چرخشی جدیدی را در بازی باجافزار ایجاد میکند. به گفته محققان، این توسعه نگاهی اجمالی از مسیری را ارائه می دهد که حملات سایبری با انگیزه مالی احتمالاً به سمت آن می روند.
محققان شرکتهای امنیتی Cyderes و Stairwell مشاهده کردهاند که در رابطه با باجافزار BlackCat/ALPHV به نام Exmatter یک ابزار استخراج داتنت را مشاهده کردهاند که انواع فایلهای خاصی را از فهرستهای انتخابشده جستجو میکند، آنها را در سرورهای کنترل شده توسط مهاجم آپلود میکند و سپس فایلها را خراب و نابود میکند. . تنها راه برای بازیابی داده ها، خرید فایل های استخراج شده از باند است.
طبق یک گزارش، «شایعه میشود که تخریب دادهها جایی است که قرار است باجافزار برود، اما ما در واقع آن را در طبیعت ندیدهایم». پست های وبلاگ اخیراً در وب سایت Cyderes منتشر شده است. محققان گفتند که Exmatter می تواند نشان دهنده این باشد که تغییر در حال رخ دادن است و نشان می دهد که بازیگران تهدید به طور فعال در فرآیند صحنه سازی و توسعه چنین قابلیتی هستند.
به گفته محققان Cyderes ارزیابی اولیه Exmatter را انجام دادند، سپس تیم تحقیقاتی Stairwell's Threat پس از تجزیه و تحلیل بدافزار "عملکرد تخریب داده های نیمه اجرا شده" را کشف کردند. به یک پست وبلاگ همراه.
استفاده از تخریب دادهها توسط بازیگران سطح وابسته به جای استقرار باجافزار بهعنوان یک سرویس (RaaS) تغییر بزرگی در چشمانداز اخاذی دادهها را نشان میدهد و نشاندهنده بالکانیزاسیون بازیگران نفوذی با انگیزه مالی است که در حال حاضر تحت کار میکنند. دانیل مایر، محقق تهدید Stairwell و شلبی کابا، مدیر عملیات ویژه در Cyderes، در این پست اشاره کردند.
یک کارشناس امنیتی خاطرنشان میکند که ظهور این قابلیت جدید در Exmatter یادآور چشمانداز تهدید به سرعت در حال تکامل و پیچیدهتر است، زیرا بازیگران تهدید برای یافتن راههای خلاقانهتر برای جرمانگاری فعالیتهای خود میگردند.
راجیو پیمپلاسکار، مدیرعامل شرکت تامین کننده ارتباطات امن Dispersive Holdings، به Dark Reading می گوید: «برخلاف تصور عمومی، حملات مدرن همیشه فقط برای سرقت داده ها نیستند، بلکه می توانند در مورد تخریب، اختلال، سلاح سازی داده ها، اطلاعات نادرست و/یا تبلیغات باشند.
Pimplaskar می افزاید: این تهدیدات همیشه در حال تحول مستلزم آن است که شرکت ها همچنین باید دفاع خود را تیزتر کنند و راه حل های امنیتی پیشرفته ای را به کار گیرند که سطوح حمله مربوطه را سخت تر کرده و منابع حساس را مبهم می کند، که در وهله اول آنها را به اهداف دشواری برای حمله تبدیل می کند.
پیوندهای قبلی با BlackMatter
تجزیه و تحلیل محققان از Exmatter اولین بار نیست که ابزاری به این نام با BlackCat/ALPHV مرتبط می شود. آن گروه - گمان میرود که توسط اعضای سابق باجافزارهای مختلف، از جمله آنهایی که اکنون از بین رفتهاند، اداره میشود. BlackMatter - محققان کسپرسکی از Exmatter برای استخراج دادههای قربانیان شرکتی در دسامبر و ژانویه گذشته قبل از استقرار باجافزار در یک حمله اخاذی مضاعف استفاده کردند. قبلاً گزارش شده.
در واقع، کسپرسکی از Exmatter که به نام Fendr نیز شناخته می شود، برای پیوند دادن فعالیت BlackCat/ALPHV با BlackMatter در خلاصه تهدید، که اوایل امسال منتشر شد.
مایر توضیح داد که نمونه Exmatter که محققان Stairwell و Cyderes مورد بررسی قرار دادند یک فایل اجرایی دات نت است که برای استخراج داده ها با استفاده از پروتکل های FTP، SFTP و webDAV طراحی شده است و دارای عملکردی برای خراب کردن فایل های روی دیسک است که استخراج شده اند. که با ابزار BlackMatter به همین نام هماهنگ است.
چگونه Exmatter Destructor کار می کند
با استفاده از روتینی به نام «همگامسازی»، بدافزار از طریق درایوهای دستگاه قربانی تکرار میشود و صفی از فایلهای پسوند فایل خاص و خاص را برای استخراج ایجاد میکند، مگر اینکه در فهرستی که در فهرست بلاککد سختشده بدافزار مشخص شده است قرار داشته باشند.
مایر گفت که Exmatter میتواند فایلهای در صف را با آپلود آنها در یک آدرس IP کنترلشده توسط مهاجم، استخراج کند.
او در این پست توضیح داد: "فایل های استخراج شده در پوشه ای با نام میزبان ماشین قربانی در سرور کنترل شده توسط بازیگر نوشته می شوند."
به گفته محققان، فرآیند تخریب داده ها در یک کلاس تعریف شده در نمونه به نام "Eraser" قرار دارد که برای اجرای همزمان با Sync طراحی شده است. مایر توضیح داد که همانطور که Sync فایل ها را در سرور کنترل شده توسط بازیگر آپلود می کند، فایل هایی را که با موفقیت در سرور راه دور کپی شده اند به صفی از فایل ها اضافه می کند تا توسط Eraser پردازش شوند.
او خاطرنشان کرد که Eraser دو فایل را بهطور تصادفی از صف انتخاب میکند و فایل 1 را با تکهای از کد که از ابتدای فایل دوم گرفته شده است، بازنویسی میکند.
مایر نوشت: «عمل استفاده از دادههای فایل قانونی از دستگاه قربانی برای خراب کردن فایلهای دیگر ممکن است تکنیکی برای جلوگیری از شناسایی مبتنی بر اکتشاف برای باجافزار و پاککنندهها باشد، زیرا کپی کردن دادههای فایل از یک فایل به فایل دیگر بهطور معقولتری خوشخیمتر است. عملکرد در مقایسه با بازنویسی متوالی فایل ها با داده های تصادفی یا رمزگذاری آنها." مایر نوشت.
کار در حال انجام
محققان خاطرنشان کردند که تعدادی سرنخ وجود دارد که نشان می دهد تکنیک تخریب داده Exmatter در حال پیشرفت است و بنابراین هنوز توسط گروه باج افزار در حال توسعه است.
یکی از مصنوعات نمونه که به این موضوع اشاره می کند این واقعیت است که طول تیکه فایل دوم، که برای بازنویسی فایل اول استفاده می شود، به طور تصادفی انتخاب می شود و می تواند به اندازه 1 بایت کوتاه باشد.
محققان خاطرنشان کردند که فرآیند تخریب داده ها همچنین مکانیسمی برای حذف فایل ها از صف خرابی ندارد، به این معنی که برخی از فایل ها ممکن است چندین بار قبل از پایان برنامه بازنویسی شوند، در حالی که برخی دیگر ممکن است اصلا انتخاب نشده باشند.
علاوه بر این، تابعی که نمونه کلاس Eraser را ایجاد میکند - بهخوبی با نام "Erase" - در نمونهای که محققان تجزیه و تحلیل کردند، بهطور کامل پیادهسازی نمیشود، زیرا بهطور صحیح دیکامپایل نمیشود.
چرا به جای رمزگذاری، نابود کنیم؟
در حال توسعه قابلیتهای فساد و تخریب دادهها محققان خاطرنشان کردند که بهجای رمزگذاری دادهها، چندین مزیت برای بازیگران باجافزار دارد، بهویژه از آنجایی که استخراج دادهها و اخاذی مضاعف (یعنی تهدید به افشای اطلاعات دزدیده شده) به یک رفتار نسبتاً رایج بازیگران تهدید تبدیل شده است. آنها گفتند که این باعث شده است که توسعه باجافزاری پایدار، ایمن و سریع برای رمزگذاری فایلها در مقایسه با فایلهای خراب و استفاده از نسخههای استخراجشده به عنوان ابزار بازیابی اطلاعات، اضافی و پرهزینه باشد.
محققین خاطرنشان کردند که حذف رمزگذاری به طور کامل همچنین میتواند فرآیند را برای شرکتهای وابسته به RaaS سریعتر کند و از سناریوهایی که در آن سود را از دست میدهند اجتناب کنند، زیرا قربانیان راههای دیگری برای رمزگشایی دادهها پیدا میکنند.
مایر مشاهده کرد: «این عوامل در یک مورد توجیهپذیر برای شرکتهای وابسته که مدل RaaS را ترک میکنند به اوج میرسد.