BlackCat/ALPHV が使用するマルウェアは、組織のデータを単に暗号化するのではなく、削除して破壊することで、ランサムウェア ゲームに新たな解釈を加えています。 研究者によると、この開発は、金銭目的のサイバー攻撃が向かっている可能性が高い方向性を垣間見せてくれます。
セキュリティ会社 Cyderes と Stairwell の研究者は、Exmatter と呼ばれる BlackCat/ALPHV ランサムウェアに関連して展開されている .NET 抽出ツールを観察しました。Exmatter は、選択したディレクトリから特定のファイル タイプを検索し、それらを攻撃者が制御するサーバーにアップロードし、ファイルを破損して破壊します。 . データを取得する唯一の方法は、盗み出されたファイルをギャングから購入することです。
「データ破壊はランサムウェアの行き先と噂されていますが、実際に実際に目にしたことはありません。」 ブログ投稿 Cyderes の Web サイトで最近公開されました。 Exmatter は、切り替えが行われていることを示している可能性があり、脅威アクターがそのような機能を積極的に準備および開発している過程にあることを示している可能性がある、と研究者は述べています。
Cyderes の研究者は Exmatter の初期評価を行い、Stairwell の脅威研究チームはマルウェアを分析した後、「部分的に実装されたデータ破壊機能」を発見しました。 コンパニオン ブログ投稿へ.
「サービスとしてのランサムウェア (RaaS) 展開の代わりにアフィリエイト レベルのアクターによるデータ破壊の使用は、データ強要の状況に大きな変化をもたらし、現在下で働いている金銭目的の侵入アクターの分断を示すことになります。 RaaS アフィリエイト プログラムのバナー」と Stairwell の脅威研究者である Daniel Mayer と Cyderes の特殊作戦責任者である Shelby Kaba は投稿で述べています。
Exmatter でのこの新しい機能の出現は、脅威アクターが自分たちの活動を犯罪化するためのより創造的な方法を見つけるために方向転換するにつれて、脅威の状況が急速に進化し、ますます高度になっていることを思い出させます、とあるセキュリティ専門家は述べています。
「一般に信じられていることとは反対に、最新の攻撃は常にデータを盗むだけではなく、破壊、混乱、データの武器化、偽情報、および/またはプロパガンダに関するものである可能性があります。
これらの絶え間なく進化する脅威により、企業は防御を強化し、それぞれの攻撃対象領域を強化し、機密リソースを難読化する高度なセキュリティ ソリューションを導入する必要があり、これにより企業はそもそも攻撃の対象になりにくくなる、と Pimplaskar 氏は付け加えます。
以前の BlackMatter との関係
研究者による Exmatter の分析は、この名前のツールが BlackCat/ALPHV に関連付けられた初めてのことではありません。 そのグループ — さまざまなランサムウェア ギャングの元メンバーによって運営されていると考えられています。 ブラックマター — Kaspersky の研究者によると、昨年 XNUMX 月と XNUMX 月に Exmatter を使用して企業の被害者からデータを盗み出した後、二重の恐喝攻撃でランサムウェアを展開しました。 前に報告された.
実際、Kaspersky は、Fendr としても知られる Exmatter を使用して、BlackCat/ALPHV の活動を ブラックマター 脅威ブリーフで、今年初めに公開されました。
Stairwell と Cyderes の研究者が調査した Exmatter のサンプルは、FTP、SFTP、および webDAV プロトコルを使用したデータ抽出用に設計された .NET 実行可能ファイルであり、抽出されたディスク上のファイルを破損する機能が含まれている、と Mayer は説明しました。 これは、同名の BlackMatter のツールと一致します。
Exmatter デストラクタの仕組み
マルウェアは、「同期」という名前のルーチンを使用して、被害者のマシンのドライブを繰り返し処理し、マルウェアのハードコードされたブロックリストで指定されたディレクトリにある場合を除き、特定の特定のファイル拡張子を持つファイルのキューを生成して抽出します。
Exmatter は、攻撃者が制御する IP アドレスにファイルをアップロードすることで、キューに入れられたファイルを盗み出すことができる、と Mayer 氏は述べています。
「盗み出されたファイルは、攻撃者が制御するサーバー上の被害者のマシンのホスト名と同じ名前のフォルダーに書き込まれます」と彼は投稿で説明しています。
データ破壊プロセスは、同期と同時に実行するように設計された「Eraser」という名前のサンプル内で定義されたクラス内にあると研究者は述べています。 Sync がアクターが制御するサーバーにファイルをアップロードすると、リモート サーバーに正常にコピーされたファイルが、Eraser によって処理されるファイルのキューに追加される、と Mayer は説明しました。
Eraser は、キューから 1 つのファイルをランダムに選択し、XNUMX 番目のファイルの先頭から取得したコードのチャンクでファイル XNUMX を上書きします。
「被害者のマシンからの正当なファイル データを使用して他のファイルを破壊する行為は、ランサムウェアやワイパーのヒューリスティック ベースの検出を回避するための手法である可能性があります」と Mayer は書いています。ランダムなデータでファイルを順次上書きしたり、暗号化したりするのと比較して、 マイヤーは書いた。
進行中の作業
Exmatter のデータ破損技術が進行中の作業であり、ランサムウェア グループによってまだ開発中であることを示す多くの手がかりがある、と研究者は述べています。
これを示すサンプルのアーティファクトの 1 つは、最初のファイルを上書きするために使用される XNUMX 番目のファイルのチャンクの長さがランダムに決定され、XNUMX バイトの長さまで短くなる可能性があるという事実です。
データ破壊プロセスには、破損キューからファイルを削除するメカニズムもありません。つまり、一部のファイルはプログラムが終了する前に何度も上書きされる可能性があり、他のファイルはまったく選択されない可能性があると研究者は指摘しています。
さらに、Eraser クラスのインスタンスを作成する関数 (「Erase」という適切な名前) は、正しく逆コンパイルされていないため、研究者が分析したサンプルでは完全には実装されていないようである、と彼らは述べています。
暗号化する代わりに破棄する理由
現像 データの破損および破壊機能 データの暗号化の代わりに、ランサムウェア攻撃者にとって多くの利点があると研究者は指摘しています。特に、データの流出と二重恐喝 (つまり、盗んだデータを漏らすと脅迫すること) が脅威攻撃者のかなり一般的な行動になっているためです。 これにより、ファイルを暗号化するための安定した、安全で高速なランサムウェアの開発は、ファイルを破損し、流出したコピーをデータ回復の手段として使用することに比べて、冗長でコストがかかるものになっている、と彼らは述べています。
暗号化を完全に排除することで、RaaS アフィリエイトのプロセスが高速化され、被害者がデータを解読する他の方法を見つけて利益を失うというシナリオを回避できる、と研究者は述べています。
「これらの要因は、アフィリエイトが RaaS モデルを離れて自力で攻撃を開始するという正当なケースに至ります。
