A BlackCat/ALPHV Gang Wiper funkcionalitást ad Ransomware Tactic PlatoBlockchain adatintelligenciaként. Függőleges keresés. Ai.

A BlackCat/ALPHV Gang az ablaktörlő funkcionalitást zsarolóvírus-taktikaként adja hozzá

Időbélyeg: 27. szeptember 2022. 9:51

Malware wielded by BlackCat/ALPHV is putting a new spin on the ransomware game by deleting and destroying an organization’s data rather than merely encrypting it. The development provides a glimpse of the direction in which financially motivated cyberattacks likely are heading, according to researchers.

A Cyderes és a Stairwell biztonsági cégek kutatói megfigyelték, hogy az Exmatter nevű BlackCat/ALPHV zsarolóvírussal kapcsolatban egy .NET kiszűrőeszközt telepítenek, amely meghatározott fájltípusokat keres a kiválasztott könyvtárakból, feltölti azokat a támadók által vezérelt szerverekre, majd megrongálja és megsemmisíti a fájlokat. . Az adatok visszaszerzésének egyetlen módja, ha visszavásárolják a kiszűrt fájlokat a bandától.

“Data destruction is rumored to be where ransomware is going to go, but we haven’t actually seen it in the wild,” according to a blogbejegyzés nemrég jelent meg a Cyderes honlapján. Az Exmatter azt jelezheti, hogy a váltás megtörténik, bizonyítva, hogy a fenyegetés szereplői aktívan részt vesznek az ilyen képességek megvalósításában és fejlesztésében, mondták a kutatók.

Cyderes researchers performed an initial assessment of Exmatter, then Stairwell’s Threat Research Team discovered “partially-implemented data destruction functionality” after analyzing the malware, according egy kísérő blogbejegyzéshez.

“The use of data destruction by affiliate-level actors in lieu of ransomware-as-a-service (RaaS) deployment would mark a large shift in the data extortion landscape, and would signal the balkanization of financially-motivated intrusion actors currently working under the banners of RaaS affiliate programs,” Stairwell threat researcher Daniel Mayer and Shelby Kaba, director of special operations at Cyderes, noted in the post.

Ennek az új képességnek az Exmatterben való megjelenése emlékeztet a gyorsan fejlődő és egyre kifinomultabb fenyegetési környezetre, ahogy a fenyegetés szereplői arra törekednek, hogy kreatívabb módszereket találjanak tevékenységük kriminalizálására – jegyzi meg egy biztonsági szakértő.

“Contrary to popular belief, modern attacks are not always just about stealing data, but can be about destruction, disruption, data weaponization, disinformation, and/or propaganda,” Rajiv Pimplaskar, CEO of secure communications provider Dispersive Holdings, tells Dark Reading.

Ezek a folyamatosan fejlődő fenyegetések megkövetelik, hogy a vállalatoknak is élesíteniük kell védelmüket, és olyan fejlett biztonsági megoldásokat kell alkalmazniuk, amelyek megerősítik a megfelelő támadási felületeiket, és elhomályosítják az érzékeny erőforrásokat, ami először is megnehezíti a támadást, teszi hozzá Pimplaskar.

Korábbi kapcsolatok a BlackMatterrel

The researchers’ analysis of Exmatter is not the first time a tool of this name has been associated with BlackCat/ALPHV. That group — believed to be run by former members of various ransomware gangs, including those from now-defunct BlackMatter – az Exmatter segítségével tavaly decemberben és januárban kiszűrte a vállalati áldozatok adatait, mielőtt kettős zsaroló támadás során zsarolóprogramokat telepített volna, a Kaspersky kutatói korábban jelentették.

Valójában a Kaspersky az Exmattert, más néven Fendr-t használta, hogy összekapcsolja a BlackCat/ALPHV tevékenységet a BlackMatter a fenyegetési tájékoztatóban, amely az év elején jelent meg.

The sample of Exmatter that Stairwell and Cyderes researchers examined is a .NET executable designed for data exfiltration using FTP, SFTP, and webDAV protocols, and contains functionality for corrupting the files on disk that have been exfiltrated, Mayer explained. That aligns with BlackMatter’s tool of the same name.

Hogyan működik az Exmatter Destructor

Using a routine named “Sync,” the malware iterates through the drives on the victim machine, generating a queue of files of certain and specific file extensions for exfiltration, unless they are located in a directory specified in the malware’s hardcoded blocklist.

Mayer szerint az Exmatter úgy tudja kiszűrni a sorban álló fájlokat, hogy feltölti azokat egy támadó által vezérelt IP-címre.

“The exfiltrated files are written to a folder with the same name as the victim machine’s hostname on the actor-controlled server,” he explained in the post.

The data-destruction process lies within a class defined within the sample named “Eraser” that is designed to execute concurrently with Sync, researchers said. As Sync uploads files to the actor-controlled server, it adds files that have been successfully copied to the remote server to a queue of files to be processed by Eraser, Mayer explained.

Eraser selects two files randomly from the queue and overwrites File 1 with a chunk of code that’s taken from the beginning of the second file, a corruption technique that may be intended as an evasion tactic, he noted.

“The act of using legitimate file data from the victim machine to corrupt other files may be a technique to avoid heuristic-based detection for ransomware and wipers,” Mayer wrote, “as copying file data from one file to another is much more plausibly benign functionality compared to sequentially overwriting files with random data or encrypting them.” Mayer wrote.

Munka folyamatban

There are a number of clues to indicate that Exmatter’s data-corruption technique is a work in progress and thus still being developed by the ransomware group, the researchers noted.

A minta egyik műterméke, amely erre utal, az a tény, hogy a második fájl darabhosszát, amelyet az első fájl felülírására használnak, véletlenszerűen határozzák meg, és akár 1 bájt hosszú is lehet.

Az adatmegsemmisítési folyamatnak nincs olyan mechanizmusa sem, amely eltávolítaná a fájlokat a korrupciós sorból, ami azt jelenti, hogy egyes fájlokat többször is felülírhatnak a program leállása előtt, míg másokat egyáltalán nem választottak ki – jegyezték meg a kutatók.

Moreover, the function that creates the instance of the Eraser class — aptly named “Erase” — does not appear to be fully implemented in the sample that researchers analyzed, as it does not decompile correctly, they said.

Miért pusztítson titkosítás helyett?

Fejlesztése adatsérülési és -megsemmisítési képességek A kutatók megjegyezték, hogy az adatok titkosítása helyett számos előnnyel jár a ransomware szereplői számára, különösen mivel az adatok kiszűrése és a kettős zsarolás (azaz az ellopott adatok kiszivárogtatásával való fenyegetés) a fenyegető szereplők meglehetősen gyakori magatartásává vált. Ez redundánssá és költségessé tette a fájlok titkosítására szolgáló stabil, biztonságos és gyors zsarolóprogramok fejlesztését a fájlok megrongálásához és a kiszűrt másolatok adat-helyreállítási eszközként való felhasználásához képest.

A titkosítás teljes megszüntetése szintén felgyorsíthatja a folyamatot a RaaS leányvállalatai számára, elkerülve azokat a forgatókönyveket, amelyek során nyereséget veszítenek, mert az áldozatok más módokat találnak az adatok visszafejtésére – jegyezték meg a kutatók.

“These factors culminate in a justifiable case for affiliates leaving the RaaS model to strike out on their own,” Mayer observed, “replacing development-heavy ransomware with data destruction.” 

Időbélyeg:

Még több Sötét olvasmány