Les logiciels malveillants utilisés par BlackCat/ALPHV donnent une nouvelle tournure au jeu des ransomwares en supprimant et en détruisant les données d’une organisation plutôt que de simplement les chiffrer. Selon les chercheurs, cette évolution donne un aperçu de la direction dans laquelle se dirigent probablement les cyberattaques à motivation financière.
Des chercheurs des sociétés de sécurité Cyderes et Stairwell ont observé le déploiement d'un outil d'exfiltration .NET en relation avec le ransomware BlackCat/ALPHV appelé Exmatter qui recherche des types de fichiers spécifiques dans des répertoires sélectionnés, les télécharge sur des serveurs contrôlés par des attaquants, puis corrompt et détruit les fichiers. . La seule façon de récupérer les données est de racheter les fichiers exfiltrés auprès du gang.
« Selon les rumeurs, la destruction des données serait l’objectif des ransomwares, mais nous ne l’avons pas encore vu dans la nature », selon un rapport. blog récents publié récemment sur le site Cyderes. Exmatter pourrait signifier que le changement est en train de se produire, démontrant que les acteurs de la menace sont activement en train de mettre en place et de développer une telle capacité, ont indiqué les chercheurs.
Les chercheurs de Cyderes ont effectué une première évaluation d'Exmatter, puis l'équipe de recherche sur les menaces de Stairwell a découvert « une fonctionnalité de destruction de données partiellement implémentée » après avoir analysé le malware, selon vers un article de blog compagnon.
« Le recours à la destruction des données par des acteurs au niveau de leurs affiliés au lieu du déploiement d'un ransomware-as-a-service (RaaS) marquerait un changement important dans le paysage de l'extorsion de données et signalerait la balkanisation des acteurs d'intrusion motivés par des raisons financières et travaillant actuellement dans le cadre de l'extorsion de données. les bannières des programmes d’affiliation RaaS », ont noté Daniel Mayer, chercheur sur les menaces chez Stairwell, et Shelby Kaba, directrice des opérations spéciales chez Cyderes, dans le message.
L’émergence de cette nouvelle fonctionnalité dans Exmatter rappelle l’évolution rapide et la sophistication croissante du paysage des menaces, alors que les acteurs de la menace s’orientent pour trouver des moyens plus créatifs de criminaliser leur activité, note un expert en sécurité.
« Contrairement à la croyance populaire, les attaques modernes ne visent pas toujours uniquement le vol de données, mais peuvent également concerner la destruction, la perturbation, la militarisation des données, la désinformation et/ou la propagande », explique Rajiv Pimplaskar, PDG du fournisseur de communications sécurisées Dispersive Holdings, à Dark Reading.
Ces menaces en constante évolution exigent que les entreprises renforcent également leurs défenses et déploient des solutions de sécurité avancées qui renforcent leurs surfaces d'attaque respectives et obscurcissent les ressources sensibles, ce qui en fera des cibles difficiles à attaquer, ajoute Pimplaskar.
Liens précédents avec BlackMatter
L’analyse d’Exmatter par les chercheurs n’est pas la première fois qu’un outil de ce nom est associé à BlackCat/ALPHV. Ce groupe, vraisemblablement dirigé par d'anciens membres de divers gangs de ransomwares, y compris ceux d'aujourd'hui disparus. Matière noire — a utilisé Exmatter pour exfiltrer les données des entreprises victimes en décembre et janvier derniers, avant de déployer un ransomware dans une double attaque d'extorsion, des chercheurs de Kaspersky rapporté précédemment.
En fait, Kaspersky a utilisé Exmatter, également connu sous le nom de Fendr, pour relier l'activité de BlackCat/ALPHV à celle de Matière noire dans le dossier de menace, qui a été publié plus tôt cette année.
L'échantillon d'Exmatter examiné par les chercheurs de Stairwell et Cyderes est un exécutable .NET conçu pour l'exfiltration de données à l'aide des protocoles FTP, SFTP et webDAV, et contient des fonctionnalités permettant de corrompre les fichiers sur le disque qui ont été exfiltrés, a expliqué Mayer. Cela correspond à l’outil du même nom de BlackMatter.
Comment fonctionne le destructeur Exmatter
À l’aide d’une routine nommée « Sync », le malware parcourt les lecteurs de la machine victime, générant une file d’attente de fichiers avec des extensions de fichiers certaines et spécifiques pour l’exfiltration, à moins qu’ils ne se trouvent dans un répertoire spécifié dans la liste de blocage codée en dur du malware.
Exmatter peut exfiltrer les fichiers en file d'attente en les téléchargeant sur une adresse IP contrôlée par un attaquant, a déclaré Mayer.
"Les fichiers exfiltrés sont écrits dans un dossier portant le même nom que le nom d'hôte de la machine victime sur le serveur contrôlé par l'acteur", a-t-il expliqué dans le message.
Le processus de destruction des données se situe dans une classe définie dans l'échantillon nommée « Eraser » qui est conçue pour s'exécuter simultanément avec Sync, ont indiqué les chercheurs. Lorsque Sync télécharge des fichiers sur le serveur contrôlé par l'acteur, il ajoute les fichiers qui ont été copiés avec succès sur le serveur distant à une file d'attente de fichiers à traiter par Eraser, a expliqué Mayer.
Eraser sélectionne deux fichiers au hasard dans la file d'attente et écrase le fichier 1 avec un morceau de code extrait du début du deuxième fichier, une technique de corruption qui peut être conçue comme une tactique d'évasion, a-t-il noté.
"Le fait d'utiliser des données de fichiers légitimes de la machine victime pour corrompre d'autres fichiers peut être une technique permettant d'éviter la détection heuristique des ransomwares et des wipers", a écrit Mayer, " car la copie de données de fichiers d'un fichier à un autre est beaucoup plus vraisemblablement inoffensive. fonctionnalité par rapport à l’écrasement séquentiel de fichiers avec des données aléatoires ou à leur chiffrement. Mayer a écrit.
Work in Progress
Il existe un certain nombre d’indices indiquant que la technique de corruption de données d’Exmatter est un travail en cours et donc toujours en cours de développement par le groupe de ransomwares, ont noté les chercheurs.
Un artefact dans l'échantillon qui indique cela est le fait que la longueur du segment du deuxième fichier, qui est utilisée pour écraser le premier fichier, est décidée de manière aléatoire et peut être aussi courte que 1 octet.
Le processus de destruction des données ne dispose pas non plus de mécanisme permettant de supprimer les fichiers de la file d'attente de corruption, ce qui signifie que certains fichiers peuvent être écrasés plusieurs fois avant la fin du programme, tandis que d'autres peuvent ne jamais avoir été sélectionnés du tout, ont noté les chercheurs.
De plus, la fonction qui crée l'instance de la classe Eraser — bien nommée « Erase » – ne semble pas être entièrement implémentée dans l'échantillon analysé par les chercheurs, car elle ne se décompile pas correctement, ont-ils déclaré.
Pourquoi détruire au lieu de chiffrer ?
Développement capacités de corruption et de destruction des données Au lieu de chiffrer les données, les chercheurs ont noté de nombreux avantages pour les auteurs de ransomwares, d'autant plus que l'exfiltration de données et la double extorsion (c'est-à-dire menacer de divulguer des données volées) sont devenues un comportement plutôt courant des acteurs de la menace. Cela a rendu le développement de ransomwares stables, sécurisés et rapides pour chiffrer les fichiers redondant et coûteux par rapport à la corruption des fichiers et à l'utilisation des copies exfiltrées comme moyen de récupération de données, ont-ils déclaré.
L'élimination complète du cryptage peut également accélérer le processus pour les affiliés de RaaS, évitant ainsi les scénarios dans lesquels ils perdraient des bénéfices parce que les victimes trouveraient d'autres moyens de décrypter les données, ont noté les chercheurs.
"Ces facteurs culminent dans un cas justifiable pour les affiliés qui abandonnent le modèle RaaS pour se lancer seuls", a observé Mayer, " en remplaçant les ransomwares lourds de développement par la destruction des données. "
- blockchain
- portefeuilles de crypto-monnaie
- cryptoexchange
- la cyber-sécurité
- les cybercriminels
- Cybersécurité
- Lecture sombre
- département de la Sécurité intérieure
- portefeuilles numériques
- pare-feu
- Kaspersky
- malware
- Mcafee
- NexBLOC
- Platon
- platon ai
- Intelligence des données Platon
- Jeu de Platon
- PlatonDonnées
- jeu de platogamie
- VPN
- la sécurité d'un site web
