Il malware gestito da BlackCat/ALPHV sta dando una nuova svolta al gioco dei ransomware cancellando e distruggendo i dati di un’organizzazione invece di limitarsi a crittografarli. Secondo i ricercatori, lo sviluppo fornisce un'idea della direzione in cui probabilmente si stanno dirigendo gli attacchi informatici motivati dal punto di vista finanziario.
I ricercatori delle società di sicurezza Cyderes e Stairwell hanno osservato uno strumento di esfiltrazione .NET distribuito in relazione al ransomware BlackCat/ALPHV chiamato Exmatter che cerca tipi di file specifici da directory selezionate, li carica su server controllati dagli aggressori e quindi corrompe e distrugge i file . L'unico modo per recuperare i dati è riacquistare i file esfiltrati dalla banda.
"Si dice che la distruzione dei dati sia la destinazione del ransomware, ma in realtà non l'abbiamo visto in natura", secondo un post sul blog pubblicato di recente sul sito di Cyderes. Exmatter potrebbe significare che il passaggio sta avvenendo, dimostrando che gli attori delle minacce stanno attivamente mettendo in scena e sviluppando tale capacità, hanno detto i ricercatori.
I ricercatori di Cyderes hanno effettuato una valutazione iniziale di Exmatter, poi il Threat Research Team di Stairwell ha scoperto "funzionalità di distruzione dei dati parzialmente implementata" dopo aver analizzato il malware, secondo a un post di blog associato.
“L’uso della distruzione dei dati da parte di attori a livello di affiliazione al posto dell’implementazione di ransomware-as-a-service (RaaS) segnerebbe un grande cambiamento nel panorama dell’estorsione di dati e segnalerebbe la balcanizzazione degli attori di intrusione motivati finanziariamente che attualmente lavorano sotto i banner dei programmi di affiliazione RaaS", hanno osservato nel post il ricercatore sulle minacce di Stairwell Daniel Mayer e Shelby Kaba, direttore delle operazioni speciali di Cyderes.
L'emergere di questa nuova funzionalità in Exmatter è un promemoria del panorama delle minacce in rapida evoluzione e sempre più sofisticato mentre gli attori delle minacce ruotano per trovare modi più creativi per criminalizzare la loro attività, osserva un esperto di sicurezza.
“Contrariamente alla credenza popolare, gli attacchi moderni non mirano sempre solo al furto di dati, ma possono riguardare la distruzione, l’interruzione, l’arma dei dati, la disinformazione e/o la propaganda”, dice a Dark Reading Rajiv Pimplaskar, CEO del fornitore di comunicazioni sicure Dispersive Holdings.
Queste minacce in continua evoluzione richiedono che anche le aziende debbano affinare le proprie difese e implementare soluzioni di sicurezza avanzate che induriscono le rispettive superfici di attacco e offuscano le risorse sensibili, il che le renderà obiettivi difficili da attaccare in primo luogo, aggiunge Pimplaskar.
Precedenti legami con BlackMatter
L’analisi di Exmatter da parte dei ricercatori non è la prima volta che uno strumento con questo nome viene associato a BlackCat/ALPHV. Quel gruppo si ritiene sia gestito da ex membri di varie bande di ransomware, compresi quelli ormai defunti Materia Nera — ha utilizzato Exmatter per esfiltrare i dati dalle vittime aziendali lo scorso dicembre e gennaio, prima di distribuire il ransomware in un doppio attacco di estorsione, ricercatori di Kaspersky segnalato in precedenza.
Infatti, Kaspersky ha utilizzato Exmatter, noto anche come Fendr, per collegare l'attività di BlackCat/ALPHV con quella di Materia Nera nel verbale di minaccia, che è stato pubblicato all'inizio di quest'anno.
Il campione di Exmatter esaminato dai ricercatori di Stairwell e Cyderes è un eseguibile .NET progettato per l'esfiltrazione di dati utilizzando i protocolli FTP, SFTP e webDAV e contiene funzionalità per corrompere i file su disco che sono stati esfiltrati, ha spiegato Mayer. Ciò è in linea con lo strumento omonimo di BlackMatter.
Come funziona il distruttore di Exmatter
Utilizzando una routine denominata "Sync", il malware scorre le unità sul computer della vittima, generando una coda di file con determinate e specifiche estensioni per l'esfiltrazione, a meno che non si trovino in una directory specificata nella blocklist hardcoded del malware.
Exmatter può esfiltrare i file in coda caricandoli su un indirizzo IP controllato da un aggressore, ha affermato Mayer.
"I file esfiltrati vengono scritti in una cartella con lo stesso nome del nome host della macchina vittima sul server controllato dall'attore", ha spiegato nel post.
Il processo di distruzione dei dati si trova all'interno di una classe definita all'interno del campione denominata "Eraser" progettata per essere eseguita contemporaneamente a Sync, hanno affermato i ricercatori. Mentre Sync carica i file sul server controllato dall'attore, aggiunge i file che sono stati copiati con successo sul server remoto a una coda di file che devono essere elaborati da Eraser, ha spiegato Mayer.
Eraser seleziona due file in modo casuale dalla coda e sovrascrive il File 1 con un pezzo di codice preso dall'inizio del secondo file, una tecnica di corruzione che potrebbe essere intesa come tattica di evasione, ha osservato.
"L'atto di utilizzare dati di file legittimi dal computer della vittima per corrompere altri file potrebbe essere una tecnica per evitare il rilevamento euristico di ransomware e wiper", ha scritto Mayer, "poiché copiare i dati di file da un file a un altro è molto più plausibilmente benigno funzionalità rispetto alla sovrascrittura sequenziale di file con dati casuali o alla loro crittografia." Mayer ha scritto.
Lavori in corso
Ci sono una serie di indizi che indicano che la tecnica di corruzione dei dati di Exmatter è un work in progress e quindi ancora in fase di sviluppo da parte del gruppo ransomware, hanno osservato i ricercatori.
Un artefatto nell'esempio che indica questo è il fatto che la lunghezza del blocco del secondo file, utilizzata per sovrascrivere il primo file, viene decisa in modo casuale e potrebbe essere lunga fino a 1 byte.
Inoltre, il processo di distruzione dei dati non ha alcun meccanismo per rimuovere i file dalla coda di danneggiamento, il che significa che alcuni file potrebbero essere sovrascritti numerose volte prima che il programma termini, mentre altri potrebbero non essere mai stati selezionati, hanno osservato i ricercatori.
Inoltre, la funzione che crea l'istanza della classe Eraser — chiamata giustamente "Cancella" — non sembra essere completamente implementata nel campione analizzato dai ricercatori, poiché non si decompila correttamente, hanno detto.
Perché distruggere invece di crittografare?
Sviluppare capacità di corruzione e distruzione dei dati invece di crittografare i dati ha una serie di vantaggi per gli attori del ransomware, hanno osservato i ricercatori, soprattutto perché l'esfiltrazione dei dati e la doppia estorsione (ovvero la minaccia di far trapelare dati rubati) è diventata un comportamento piuttosto comune degli attori delle minacce. Ciò ha reso lo sviluppo di ransomware stabile, sicuro e veloce per crittografare i file ridondante e costoso rispetto alla corruzione dei file e all'utilizzo delle copie esfiltrate come mezzo di recupero dei dati, hanno affermato.
Eliminare del tutto la crittografia può anche rendere il processo più veloce per gli affiliati RaaS, evitando scenari in cui perdono profitti perché le vittime trovano altri modi per decrittografare i dati, hanno osservato i ricercatori.
"Questi fattori culminano in un motivo giustificabile per cui gli affiliati abbandonano il modello RaaS per mettersi in proprio", ha osservato Mayer, "sostituendo il ransomware pesante per lo sviluppo con la distruzione dei dati".
- blockchain
- portafogli di criptovaluta
- cryptoexchange
- sicurezza informatica
- i criminali informatici
- Cybersecurity
- Lettura oscura
- Dipartimento di Sicurezza Nazionale
- portafogli digitali
- firewall
- Kaspersky
- il malware
- Mcafee
- NextBLOC
- Platone
- platone ai
- Platone Data Intelligence
- Gioco di Platone
- PlatoneDati
- gioco di plato
- VPN
- sicurezza del sito Web
