BlackCat/ALPHV:n käyttämät haittaohjelmat tuovat kiristysohjelmapelille uuden kierroksen poistamalla ja tuhoamalla organisaation tiedot sen sijaan, että ne vain salaavat ne. Kehitys antaa näkemyksen siitä, mihin suuntaan taloudellisesti motivoidut kyberhyökkäykset todennäköisesti ovat menossa, tutkijoiden mukaan.
Tietoturvayritysten Cyderesin ja Stairwellin tutkijat ovat havainneet Exmatter-nimistä .NET-suodatustyökalua, joka etsii tiettyjä tiedostotyyppejä valituista hakemistoista, lataa ne hyökkääjien hallitsemille palvelimille ja korruptoi ja tuhoaa sitten tiedostot. . Ainoa tapa saada tiedot on ostaa suodatetut tiedostot takaisin jengiltä.
"Tietojen tuhoamisen huhutaan menevän sinne, missä kiristysohjelmat menevät, mutta emme ole varsinaisesti nähneet sitä luonnossa", kertoo eräs blogi julkaistu äskettäin Cyderes-verkkosivustolla. Exmatter voi tarkoittaa, että vaihto on tapahtumassa, mikä osoittaa, että uhkatoimijat ovat aktiivisesti toteuttamassa ja kehittämässä tällaista kykyä, tutkijat sanoivat.
Cyderes-tutkijat suorittivat Exmatterin alustavan arvioinnin, minkä jälkeen Stairwellin uhkatutkimusryhmä havaitsi "osittain toteutetun tietojen tuhoamistoiminnon" analysoituaan haittaohjelman. kumppaniblogiviestiin.
"Kun yhteistyökumppanitason toimijoiden suorittama tietojen tuhoaminen ransomware-as-a-service (RaaS) -käytön asemesta merkitsisi suurta muutosta datan kiristysympäristössä ja merkitsisi tällä hetkellä työskentelevien taloudellisesti motivoituneiden tunkeutumistoimijoiden balkanisoitumista. RaaS:n affiliate-ohjelmien bannerit”, Stairwellin uhkien tutkija Daniel Mayer ja Cyderesin erikoistoimintojen johtaja Shelby Kaba totesivat viestissä.
Tämän uuden ominaisuuden ilmaantuminen Exmatteriin on muistutus nopeasti kehittyvästä ja yhä kehittyneemmästä uhkakuvasta, kun uhkatoimijat pyrkivät löytämään luovempia tapoja kriminalisoida toimintansa, yksi tietoturva-asiantuntija huomauttaa.
"Toisin kuin yleisesti uskotaan, nykyaikaiset hyökkäykset eivät aina ole vain tietojen varastamista, vaan ne voivat koskea tuhoamista, häiriöitä, tietojen aseistamista, disinformaatiota ja/tai propagandaa", Rajiv Pimplaskar, turvallisen viestinnän tarjoaja Dispersive Holdings, kertoo Dark Readingille.
Nämä jatkuvasti kehittyvät uhat vaativat myös yritysten terävöittämään puolustustaan ja ottamaan käyttöön kehittyneitä tietoturvaratkaisuja, jotka kovettavat niiden hyökkäyspintoja ja hämärtävät herkät resurssit, mikä tekee niistä vaikeita hyökkäyksiä, Pimplaskar lisää.
Aiemmat siteet BlackMatteriin
Tutkijoiden Exmatterin analyysi ei ole ensimmäinen kerta, kun tämänniminen työkalu yhdistetään BlackCat/ALPHV:hen. Tätä ryhmää, jonka uskotaan johtaneen useiden kiristyshaittaohjelmaryhmien entisiä jäseniä, mukaan lukien jo lakkautettuja. Musta aine Kasperskyn tutkijat käyttivät Exmatteria tietojen suodattamiseen yritysten uhreilta viime joulukuussa ja tammikuussa ennen kiristysohjelmien käyttöönottoa kaksoiskiristyshyökkäyksessä raportoitu aiemmin.
Itse asiassa Kaspersky käytti Exmatteria, joka tunnetaan myös nimellä Fendr, yhdistämään BlackCat/ALPHV-toiminnan Musta aine uhkakuvauksessa, joka julkaistiin aiemmin tänä vuonna.
Stairwellin ja Cyderesin tutkijoiden tutkima Exmatter-näyte on .NET-suoritettava tiedosto, joka on suunniteltu tietojen suodattamiseen FTP-, SFTP- ja webDAV-protokollien avulla. Se sisältää toimintoja, joilla voidaan korruptoida suodatettuja tiedostoja levyllä, Mayer selitti. Tämä on linjassa BlackMatterin samannimisen työkalun kanssa.
Kuinka Exmatter Destructor toimii
Käyttämällä "Sync"-nimistä rutiinia haittaohjelma toistuu uhrin koneen asemien läpi luoden jonon tietyillä tiedostopäätteillä varustettuja tiedostoja suodattamista varten, elleivät ne sijaitse hakemistossa, joka on määritetty haittaohjelman kovakoodatussa estoluettelossa.
Exmatter voi suodattaa jonossa olevat tiedostot lataamalla ne hyökkääjän hallitsemaan IP-osoitteeseen, Mayer sanoi.
"Suodatetut tiedostot kirjoitetaan kansioon, jolla on sama nimi kuin uhrin koneen isäntänimi näyttelijän hallitsemalla palvelimella", hän selitti viestissä.
Tietojen tuhoamisprosessi kuuluu luokkaan, joka on määritelty näytteessä nimeltä "Eraser", joka on suunniteltu suoritettavaksi samanaikaisesti Syncin kanssa, tutkijat sanoivat. Kun Sync lataa tiedostoja toimijan ohjaamaan palvelimeen, se lisää etäpalvelimelle onnistuneesti kopioidut tiedostot Eraserin käsittelemään tiedostojonoon, Mayer selitti.
Eraser valitsee kaksi tiedostoa satunnaisesti jonosta ja korvaa tiedoston 1 koodipalalla, joka on otettu toisen tiedoston alusta, mikä on korruptiotekniikka, jota voidaan pitää kiertotaktikana, hän huomautti.
"Uhrin koneen laillisten tiedostotietojen käyttäminen muiden tiedostojen turmelemiseen voi olla tekniikka, jolla vältetään kiristysohjelmien ja pyyhkijöiden heuristinen havaitseminen", Mayer kirjoitti, "koska tiedostotietojen kopioiminen tiedostosta toiseen on paljon todennäköisempää. toiminnallisuutta verrattuna tiedostojen peräkkäiseen päällekirjoittamiseen satunnaisilla tiedoilla tai niiden salaamiseen." Mayer kirjoitti.
Keskeneräinen
On olemassa useita vihjeitä, jotka viittaavat siihen, että Exmatterin tietojen korruptiotekniikka on keskeneräinen ja siten ransomware-ryhmän kehittämä edelleen, tutkijat huomauttavat.
Yksi tähän viittaava artefakti näytteessä on se, että toisen tiedoston osan pituus, jota käytetään ensimmäisen tiedoston päällekirjoittamiseen, päätetään satunnaisesti ja voi olla jopa 1 tavun mittainen.
Tietojen tuhoamisprosessissa ei myöskään ole mekanismia tiedostojen poistamiseksi korruptiojonosta, mikä tarkoittaa, että jotkin tiedostot voidaan ylikirjoittaa useita kertoja ennen ohjelman päättymistä, kun taas toisia ei ehkä ole valittu ollenkaan, tutkijat huomauttavat.
Lisäksi toiminto, joka luo Eraser-luokan esiintymän - osuvasti nimeltä "Erase" - ei näytä olevan täysin toteutettu tutkijoiden analysoimassa otoksessa, koska se ei pure oikein, he sanoivat.
Miksi tuhota salauksen sijaan?
Kehittäminen tietojen korruption ja tuhoamisen ominaisuudet tietojen salaamisen sijaan on lukuisia etuja kiristyshaittaohjelmien toimijoille, tutkijat huomauttivat, varsinkin kun tietojen salaamisesta ja kaksoiskiristämisestä (eli varastetun datan vuotamisella uhkaamisesta) on tullut uhkatoimijoiden melko yleistä käyttäytymistä. Tämä on tehnyt vakaan, turvallisen ja nopean lunnasohjelmiston kehittämisestä tiedostojen salaamiseksi tarpeettoman ja kalliin verrattuna tiedostojen vioittamiseen ja suodatettujen kopioiden käyttämiseen tietojen palauttamiseen, he sanoivat.
Salauksen poistaminen kokonaan voi myös nopeuttaa prosessia RaaS-tytäryhtiöiden osalta ja välttää skenaariot, joissa he menettävät voittoja, koska uhrit löytävät muita tapoja purkaa tietojen salaus, tutkijat huomauttavat.
"Nämä tekijät huipentuvat oikeutettuun tapaukseen, jossa RaaS-mallin jättävät tytäryhtiöt hylkäävät itsensä", Mayer huomautti.
- blockchain
- cryptocurrency-lompakot
- cryptoexchange
- tietoverkkoturvallisuus
- verkkorikollisille
- tietoverkkojen
- Pimeää luettavaa
- sisäisen turvallisuuden osasto
- digitaaliset lompakot
- palomuuri
- Kaspersky
- haittaohjelmat
- McAfee
- NexBLOC
- Platon
- plato ai
- Platonin tietotieto
- Platon peli
- PlatonData
- platopeliä
- VPN
- verkkosivuilla turvallisuus
