תוכנה זדונית שמפעילה BlackCat/ALPHV נותנת סיבוב חדש במשחק תוכנת הכופר על ידי מחיקה והשמדה של נתונים של ארגון במקום רק הצפנתם. הפיתוח מספק הצצה לכיוון שאליו צפויות התקפות סייבר ממניעים פיננסיים הולכות, על פי חוקרים.
חוקרים מחברות האבטחה Cyderes ו-Stairwell צפו בכלי .NET exfiltration שנפרס ביחס ל-BlackCat/ALPHV כופר בשם Exmatter שמחפש סוגי קבצים ספציפיים מספריות נבחרות, מעלה אותם לשרתים הנשלטים על ידי תוקף, ולאחר מכן משחית ומשמיד את הקבצים . הדרך היחידה לאחזר את הנתונים היא על ידי רכישת הקבצים שחולצו בחזרה מהחבורה.
"לפי השמועות יש השמדת נתונים למקום שבו תוכנות הכופר הולכות להגיע, אבל לא ראינו את זה בטבע", על פי בלוג פורסם לאחרונה באתר Cyderes. Exmatter יכול לסמן שהמעבר מתרחש, מה שמוכיח שגורמי איומים נמצאים באופן פעיל בתהליך של בימוי ופיתוח יכולת כזו, אמרו חוקרים.
חוקרי סיידרס ביצעו הערכה ראשונית של Exmatter, ואז צוות מחקרי האיומים של Stairwell גילה "פונקציונליות הרס נתונים מיושמת חלקית" לאחר ניתוח התוכנה הזדונית, לפי לפוסט נלווה לבלוג.
"השימוש בהשמדת נתונים על ידי שחקנים ברמת השותפים במקום פריסת תוכנת כופר כשירות (RaaS) יסמן שינוי גדול בנוף סחיטת הנתונים, ויהווה סימן לבלקניזציה של שחקני חדירות בעלי מוטיבציה פיננסית העובדים כיום תחת הבאנרים של תוכניות שותפים של RaaS", ציינו בפוסט חוקר האיומים של חדר המדרגות דניאל מאייר ושלבי קאבה, מנהלת פעולות מיוחדות ב-Cyderes.
הופעתה של יכולת חדשה זו ב-Exmatter היא תזכורת לנוף האיומים המתפתח במהירות ומתוחכם, כאשר גורמי איומים מסתובבים על מנת למצוא דרכים יצירתיות יותר להפליל את פעילותם, מציין מומחה אבטחה אחד.
"בניגוד לאמונה הרווחת, התקפות מודרניות אינן תמיד נוגעות רק לגניבת נתונים, אלא יכולות להיות על הרס, שיבוש, נשק נתונים, דיסאינפורמציה ו/או תעמולה", אומר רג'יב פימפלאסקר, מנכ"ל ספקית התקשורת המאובטחת Dispersive Holdings, ל-Dark Reading.
האיומים ההולכים ומתפתחים דורשים מארגונים גם לחדד את ההגנות שלהם ולפרוס פתרונות אבטחה מתקדמים שמקשיחים את משטחי ההתקפה שלהם ומערפלים משאבים רגישים, מה שיהפוך אותם למטרות קשות לתקיפה מלכתחילה, מוסיף פימפלאסקר.
קשרים קודמים עם BlackMatter
הניתוח של החוקרים של Exmatter אינו הפעם הראשונה שכלי בשם זה נקשר ל-BlackCat/ALPHV. קבוצה זו - מאמינים שהיא מנוהלת על ידי חברים לשעבר של כנופיות שונות של תוכנות כופר, כולל אלה שנפטרו כעת BlackMatter - השתמש ב-Exmatter כדי לסנן נתונים מקורבנות תאגידים בדצמבר ובינואר האחרונים, לפני פריסת תוכנת כופר במתקפת סחיטה כפולה, חוקרים מקספרסקי דיווחו בעבר.
למעשה, קספרסקי השתמש ב-Exmatter, הידוע גם בשם Fendr, כדי לקשר בין פעילות BlackCat/ALPHV לזו של BlackMatter בתקציר האיום, שפורסם בתחילת השנה.
הדוגמה של Exmatter שבחנו חוקרי Stairwell ו-Cyderes היא קובץ הפעלה .NET המיועד לחילוץ נתונים באמצעות פרוטוקולי FTP, SFTP ו-webDAV, ומכיל פונקציונליות להשחתת הקבצים בדיסק שחולצו, הסביר מאייר. זה מתיישב עם הכלי של BlackMatter באותו שם.
איך פועל משחת האקסטרטר
באמצעות שגרה בשם "סינכרון", התוכנה הזדונית חוזרת דרך הכוננים במחשב הקורבן, ויוצרת תור של קבצים של סיומות קבצים מסוימות וספציפיות להסרה, אלא אם כן הם ממוקמים בספרייה המצוינת ברשימת החסימה המקודדת של התוכנה הזדונית.
Exmatter יכול לסנן קבצים בתור על ידי העלאתם לכתובת IP הנשלטת על ידי תוקף, אמר מאייר.
"הקבצים שחולצו נכתבים לתיקיה בעלת שם זהה לשם המארח של מכונת הקורבן בשרת הנשלט על ידי השחקן", הסביר בפוסט.
תהליך השמדת הנתונים נמצא בתוך מחלקה שהוגדרה בתוך המדגם בשם "מחק" שנועדה לפעול במקביל לסינכרון, אמרו החוקרים. כאשר Sync מעלה קבצים לשרת הנשלט על ידי השחקן, הוא מוסיף קבצים שהועתקו בהצלחה לשרת המרוחק לתור של קבצים שיעובדו על ידי Eraser, הסביר מאייר.
Eraser בוחר שני קבצים באופן אקראי מהתור ומחליף את קובץ 1 עם גוש קוד שנלקח מתחילת הקובץ השני, טכניקת שחיתות שעשויה להיות מיועדת כטקטיקת התחמקות, הוא ציין.
"הפעולה של שימוש בנתוני קבצים לגיטימיים ממחשב הקורבן כדי להשחית קבצים אחרים עשויה להיות טכניקה למנוע זיהוי מבוסס היוריסטיות עבור תוכנות כופר ומגבים", כתב מאייר, "כיוון שהעתקת נתוני קבצים מקובץ אחד למשנהו היא הרבה יותר מתקבלת על הדעת. פונקציונליות בהשוואה להחלפת קבצים ברצף עם נתונים אקראיים או הצפנתם." כתב מאייר.
עבודה בתהליך
ישנם מספר רמזים המצביעים על כך שטכניקת השחתת הנתונים של Exmatter היא עבודה בתהליך ולכן עדיין מפותחת על ידי קבוצת תוכנות הכופר, ציינו החוקרים.
חפץ אחד במדגם שמצביע על כך הוא העובדה שאורך ה-chunk של הקובץ השני, המשמש לדרוס את הקובץ הראשון, נקבע באופן אקראי ויכול להיות קצר עד 1 בייט.
לתהליך השמדת הנתונים אין גם מנגנון להסרת קבצים מתור השחיתות, כלומר קבצים מסוימים עשויים להיחלף מספר רב של פעמים לפני סיום התוכנית, בעוד שאחרים אולי לא נבחרו כלל, ציינו החוקרים.
יתרה מכך, נראה שהפונקציה שיוצרת את המופע של מחלקת Eraser - המכונה "מחק" - לא מיושמת במלואה במדגם שחוקרים ניתחו, מכיוון שהיא לא מפרקת כראוי, לדבריהם.
למה להשמיד במקום להצפין?
מתפתח יכולות שחיתות והרס נתונים במקום להצפנת נתונים יש מספר יתרונות עבור שחקני תוכנות כופר, ציינו החוקרים, במיוחד כאשר חילוץ נתונים וסחיטה כפולה (כלומר, איום להדליף נתונים גנובים) הפך להתנהגות נפוצה למדי של שחקני איומים. הדבר הפך את פיתוח תוכנת כופר יציבה, מאובטחת ומהירה להצפנת קבצים למיותר ויקר בהשוואה לקבצים משחיתים ושימוש בעותקים שחולצו כאמצעי לשחזור נתונים.
ביטול ההצפנה לחלוטין יכול גם להפוך את התהליך למהיר יותר עבור שותפי RaaS, ולהימנע מתרחישים שבהם הם מפסידים רווחים מכיוון שהקורבנות מוצאים דרכים אחרות לפענח את הנתונים, ציינו החוקרים.
"הגורמים הללו מגיעים לשיאם במקרה מוצדק של שותפים עוזבים את מודל ה-RaaS כדי להפסיק בעצמם", ציין מאייר, "החלפת תוכנות כופר כבדות פיתוח בהשמדת נתונים".
