Malware yang digunakan oleh BlackCat/ALPHV memberikan terobosan baru pada permainan ransomware dengan menghapus dan menghancurkan data organisasi, bukan sekadar mengenkripsinya. Perkembangan ini memberikan gambaran sekilas tentang arah kemungkinan serangan siber yang bermotif finansial, menurut para peneliti.
Para peneliti dari perusahaan keamanan Cyderes dan Stairwell telah mengamati alat eksfiltrasi .NET yang digunakan sehubungan dengan ransomware BlackCat/ALPHV yang disebut Exmatter yang mencari jenis file tertentu dari direktori yang dipilih, mengunggahnya ke server yang dikendalikan penyerang, dan kemudian merusak dan menghancurkan file tersebut. . Satu-satunya cara untuk mengambil data adalah dengan membeli kembali file yang dieksfiltrasi dari geng.
“Penghancuran data dikabarkan menjadi penyebab ransomware, namun kita belum benar-benar melihatnya secara langsung,” menurut sebuah posting blog diterbitkan baru-baru ini di situs web Cyderes. Exmatter dapat menandakan bahwa peralihan sedang terjadi, menunjukkan bahwa pelaku ancaman secara aktif dalam proses menentukan dan mengembangkan kemampuan tersebut, kata para peneliti.
Peneliti Cyderes melakukan penilaian awal terhadap Exmatter, kemudian Tim Peneliti Ancaman Stairwell menemukan “fungsi penghancuran data yang diimplementasikan sebagian” setelah menganalisis malware tersebut, menurut ke postingan blog pendamping.
“Penggunaan penghancuran data oleh pelaku tingkat afiliasi sebagai pengganti penyebaran ransomware-as-a-service (RaaS) akan menandai perubahan besar dalam lanskap pemerasan data, dan akan menandakan balkanisasi pelaku penyusupan yang bermotivasi finansial yang saat ini bekerja di bawah ancaman ransomware. spanduk program afiliasi RaaS,” peneliti ancaman Stairwell Daniel Mayer dan Shelby Kaba, direktur operasi khusus di Cyderes, mencatat dalam postingan tersebut.
Munculnya kemampuan baru di Exmatter ini merupakan pengingat akan lanskap ancaman yang berkembang pesat dan semakin canggih seiring para pelaku ancaman mencari cara yang lebih kreatif untuk mengkriminalisasi aktivitas mereka, kata seorang pakar keamanan.
“Bertentangan dengan anggapan umum, serangan modern tidak selalu hanya mengenai pencurian data, namun dapat berupa penghancuran, gangguan, persenjataan data, disinformasi, dan/atau propaganda,” Rajiv Pimplaskar, CEO penyedia komunikasi aman Dispersive Holdings, mengatakan kepada Dark Reading.
Ancaman yang terus berkembang ini menuntut perusahaan untuk mempertajam pertahanan mereka dan menerapkan solusi keamanan canggih yang memperkeras permukaan serangan mereka dan mengaburkan sumber daya sensitif, yang akan menjadikan mereka sasaran yang sulit untuk diserang, Pimplaskar menambahkan.
Hubungan Sebelumnya dengan BlackMatter
Analisis para peneliti terhadap Exmatter bukanlah pertama kalinya alat dengan nama ini dikaitkan dengan BlackCat/ALPHV. Kelompok tersebut – diyakini dijalankan oleh mantan anggota berbagai geng ransomware, termasuk yang sudah tidak ada lagi materi hitam — menggunakan Exmatter untuk mengambil data dari korban korporat pada bulan Desember dan Januari lalu, sebelum menyebarkan ransomware dalam serangan pemerasan ganda, peneliti dari Kaspersky dilaporkan sebelumnya.
Faktanya, Kaspersky menggunakan Exmatter, juga dikenal sebagai Fendr, untuk menghubungkan aktivitas BlackCat/ALPHV dengan aktivitas materi hitam dalam ringkasan ancaman, yang diterbitkan awal tahun ini.
Sampel Exmatter yang diperiksa oleh peneliti Stairwell dan Cyderes adalah .NET yang dapat dieksekusi yang dirancang untuk eksfiltrasi data menggunakan protokol FTP, SFTP, dan webDAV, dan berisi fungsionalitas untuk merusak file pada disk yang telah dieksfiltrasi, jelas Mayer. Ini sejalan dengan alat BlackMatter dengan nama yang sama.
Cara Kerja Penghancur Exmatter
Dengan menggunakan rutinitas bernama “Sinkronisasi”, malware ini melakukan iterasi melalui drive pada mesin korban, menghasilkan antrean file dengan ekstensi file tertentu dan spesifik untuk eksfiltrasi, kecuali jika file tersebut berlokasi di direktori yang ditentukan dalam daftar blokir hardcode malware.
Exmatter dapat mengekstraksi file yang antri dengan mengunggahnya ke alamat IP yang dikendalikan penyerang, kata Mayer.
“File yang dieksfiltrasi ditulis ke folder dengan nama yang sama dengan nama host mesin korban di server yang dikendalikan aktor,” jelasnya dalam postingan tersebut.
Proses penghancuran data terletak di dalam kelas yang ditentukan dalam sampel bernama “Eraser” yang dirancang untuk dijalankan secara bersamaan dengan Sync, kata para peneliti. Saat Sync mengunggah file ke server yang dikontrol aktor, ia menambahkan file yang telah berhasil disalin ke server jarak jauh ke antrean file untuk diproses oleh Eraser, jelas Mayer.
Eraser memilih dua file secara acak dari antrian dan menimpa File 1 dengan potongan kode yang diambil dari awal file kedua, sebuah teknik korupsi yang mungkin dimaksudkan sebagai taktik penghindaran, katanya.
“Tindakan menggunakan data file yang sah dari mesin korban untuk merusak file lain mungkin merupakan teknik untuk menghindari deteksi berbasis heuristik terhadap ransomware dan wiper,” tulis Mayer, “karena menyalin data file dari satu file ke file lainnya jauh lebih masuk akal. fungsionalitas dibandingkan dengan menimpa file secara berurutan dengan data acak atau mengenkripsinya.” tulis Mayer.
Work in Progress
Ada sejumlah petunjuk yang menunjukkan bahwa teknik korupsi data Exmatter masih dalam proses dan masih dikembangkan oleh kelompok ransomware, kata para peneliti.
Salah satu artefak dalam sampel yang menunjukkan hal ini adalah fakta bahwa panjang potongan file kedua, yang digunakan untuk menimpa file pertama, ditentukan secara acak dan panjangnya bisa mencapai 1 byte.
Proses penghancuran data juga tidak memiliki mekanisme untuk menghapus file dari antrian korupsi, yang berarti bahwa beberapa file mungkin ditimpa berkali-kali sebelum program dihentikan, sementara file lainnya mungkin tidak pernah dipilih sama sekali, catat para peneliti.
Selain itu, fungsi yang menciptakan instance kelas Eraser – yang diberi nama “Erase” – tampaknya tidak sepenuhnya diterapkan dalam sampel yang dianalisis peneliti, karena tidak didekompilasi dengan benar, kata mereka.
Mengapa Menghancurkan Daripada Mengenkripsi?
Mengembangkan kemampuan korupsi dan penghancuran data Sebagai pengganti enkripsi data, para peneliti mencatat bahwa hal ini memiliki sejumlah manfaat bagi para pelaku ransomware, terutama karena eksfiltrasi data dan pemerasan ganda (yaitu mengancam akan membocorkan data yang dicuri) telah menjadi perilaku yang umum dilakukan oleh para pelaku ancaman. Hal ini membuat pengembangan ransomware yang stabil, aman, dan cepat untuk mengenkripsi file menjadi mubazir dan mahal dibandingkan dengan merusak file dan menggunakan salinan yang dieksfiltrasi sebagai sarana pemulihan data, kata mereka.
Menghilangkan enkripsi sama sekali juga dapat mempercepat proses bagi afiliasi RaaS, menghindari skenario di mana mereka kehilangan keuntungan karena korban menemukan cara lain untuk mendekripsi data, catat para peneliti.
“Faktor-faktor ini berujung pada alasan yang dapat dibenarkan bagi afiliasi untuk meninggalkan model RaaS dan melakukan serangan mereka sendiri,” kata Mayer, “menggantikan ransomware yang banyak dikembangkan dengan penghancuran data.”
