BlackCat/ALPHV가 사용하는 악성 코드는 조직의 데이터를 단순히 암호화하는 것이 아니라 삭제하고 파괴함으로써 랜섬웨어 게임에 새로운 변화를 가져오고 있습니다. 연구원들에 따르면, 이러한 발전은 재정적 동기를 지닌 사이버 공격이 향하고 있는 방향을 엿볼 수 있게 해줍니다.
보안 회사인 Cyderes와 Stairwell의 연구원들은 선택한 디렉터리에서 특정 파일 형식을 검색하여 공격자가 제어하는 서버에 업로드한 다음 파일을 손상시키고 파괴하는 Exmatter라는 BlackCat/ALPHV 랜섬웨어와 관련하여 배포되는 .NET 추출 도구를 관찰했습니다. . 데이터를 검색할 수 있는 유일한 방법은 갱단으로부터 유출된 파일을 다시 구입하는 것입니다.
한 관계자는 “랜섬웨어가 데이터를 파괴할 것이라는 소문이 있지만 실제 현장에서는 본 적이 없다”고 말했다. 블로그 게시물 최근 Cyderes 웹사이트에 게시되었습니다. 연구원들은 Exmatter가 전환이 진행되고 있음을 의미할 수 있으며 위협 행위자가 적극적으로 이러한 기능을 준비하고 개발하는 과정에 있음을 보여줄 수 있다고 말했습니다.
Cyderes 연구원은 Exmatter에 대한 초기 평가를 수행했으며 Stairwell의 위협 연구팀은 악성 코드를 분석한 후 "부분적으로 구현된 데이터 파괴 기능"을 발견했다고 합니다. 동반 블로그 게시물로.
“RaaS(Ransomware-as-a-Service) 배포 대신 계열사 수준의 행위자가 데이터를 파괴하는 것은 데이터 강탈 환경에 큰 변화를 가져올 것이며 현재 활동하고 있는 재정적 동기를 지닌 침입 행위자의 분열을 알리는 신호가 될 것입니다. RaaS 제휴 프로그램의 배너”라고 Stairwell 위협 연구원 Daniel Mayer와 Cyderes의 특수 운영 이사인 Shelby Kaba가 게시물에서 언급했습니다.
Exmatter에 이 새로운 기능이 등장한 것은 위협 행위자들이 자신의 활동을 범죄화할 보다 창의적인 방법을 찾기 위해 방향을 바꾸면서 빠르게 진화하고 점점 더 정교해지는 위협 환경을 상기시켜 준다고 한 보안 전문가는 말합니다.
보안 통신 제공업체인 Dispersive Holdings의 CEO인 Rajiv Pimplaskar는 Dark Reading에 “대중의 믿음과는 달리 현대의 공격은 항상 데이터를 훔치는 것만이 아니라 파괴, 중단, 데이터 무기화, 허위 정보 및/또는 선전에 관한 것일 수 있습니다.”라고 말했습니다.
이렇게 끊임없이 진화하는 위협으로 인해 기업은 방어를 강화하고 각각의 공격 표면을 강화하고 민감한 리소스를 난독화하는 고급 보안 솔루션을 배포해야 하며, 이로 인해 애초에 공격 대상이 되기 어려워진다고 Pimplaskar는 덧붙입니다.
BlackMatter와의 이전 관계
Exmatter에 대한 연구원들의 분석은 이 이름의 도구가 BlackCat/ALPHV와 연관되어 있는 것이 처음이 아닙니다. 해당 그룹 - 현재는 없어진 랜섬웨어 갱단을 포함하여 다양한 랜섬웨어 갱단의 전 멤버가 운영하는 것으로 추정됩니다. 블랙매터 — Kaspersky 연구원들은 이중 갈취 공격으로 랜섬웨어를 배포하기 전 지난 12월과 1월에 Exmatter를 사용하여 기업 피해자로부터 데이터를 유출했습니다. 이전에보고 된.
실제로 Kaspersky는 Fendr로도 알려진 Exmatter를 사용하여 BlackCat/ALPHV 활동을 다음 활동과 연결했습니다. 블랙매터 위협 브리핑에서, 올해 초에 출판되었습니다.
Stairwell과 Cyderes 연구원이 조사한 Exmatter 샘플은 FTP, SFTP 및 webDAV 프로토콜을 사용하여 데이터 추출을 위해 설계된 .NET 실행 파일이며 추출된 디스크의 파일을 손상시키는 기능을 포함하고 있다고 Mayer는 설명했습니다. 이는 동일한 이름의 BlackMatter 도구와 일치합니다.
Exmatter 소멸자의 작동 방식
맬웨어는 "동기화"라는 루틴을 사용하여 피해자 컴퓨터의 드라이브를 반복하여 맬웨어의 하드코딩된 차단 목록에 지정된 디렉터리에 있지 않은 한 추출을 위한 특정 파일 확장자의 파일 대기열을 생성합니다.
Exmatter는 대기 중인 파일을 공격자가 제어하는 IP 주소에 업로드하여 추출할 수 있다고 Mayer는 말했습니다.
“탈출된 파일은 행위자가 제어하는 서버에 있는 피해자 컴퓨터의 호스트 이름과 동일한 이름을 가진 폴더에 기록됩니다.”라고 그는 게시물에서 설명했습니다.
데이터 파괴 프로세스는 Sync와 동시에 실행되도록 설계된 "Eraser"라는 샘플 내에 정의된 클래스 내에 있다고 연구진은 말했습니다. Sync가 행위자 제어 서버에 파일을 업로드함에 따라 원격 서버에 성공적으로 복사된 파일을 Eraser가 처리할 파일 대기열에 추가한다고 Mayer는 설명했습니다.
Eraser는 대기열에서 두 개의 파일을 무작위로 선택하고 두 번째 파일의 시작 부분에서 가져온 코드 덩어리로 파일 1을 덮어씁니다. 이는 회피 전술로 의도된 손상 기술이라고 그는 지적했습니다.
Mayer는 "피해 컴퓨터의 합법적인 파일 데이터를 사용하여 다른 파일을 손상시키는 행위는 랜섬웨어 및 와이퍼에 대한 경험적 기반 탐지를 피하는 기술일 수 있습니다. 한 파일에서 다른 파일로 파일 데이터를 복사하는 것이 훨씬 더 합리적이기 때문입니다"라고 썼습니다. 무작위 데이터로 파일을 순차적으로 덮어쓰거나 암호화하는 것과 비교하면 기능이 훨씬 더 뛰어납니다.” 메이어가 썼다.
진행중인 작업
연구원들은 Exmatter의 데이터 손상 기술이 현재 진행 중인 작업이므로 여전히 랜섬웨어 그룹에 의해 개발되고 있음을 나타내는 많은 단서가 있다고 지적했습니다.
이를 지적하는 샘플의 아티팩트 중 하나는 첫 번째 파일을 덮어쓰는 데 사용되는 두 번째 파일의 청크 길이가 무작위로 결정되며 길이가 1바이트만큼 짧을 수 있다는 사실입니다.
또한 데이터 파괴 프로세스에는 손상 대기열에서 파일을 제거하는 메커니즘이 없습니다. 즉, 일부 파일은 프로그램이 종료되기 전에 여러 번 덮어쓰여질 수 있고 다른 파일은 전혀 선택되지 않았을 수도 있다는 것을 의미합니다.
더욱이 Eraser 클래스의 인스턴스를 생성하는 함수("Erase"라고 적절하게 명명됨)는 올바르게 디컴파일되지 않기 때문에 연구자들이 분석한 샘플에서 완전히 구현되지 않은 것으로 보인다고 그들은 말했습니다.
암호화 대신 파기하는 이유는 무엇입니까?
개발 데이터 손상 및 파괴 기능 연구원들은 데이터를 암호화하는 대신 랜섬웨어 공격자에게 여러 가지 이점이 있다고 지적했습니다. 특히 데이터 유출 및 이중 강탈(즉, 훔친 데이터를 유출하겠다고 위협하는 행위)이 위협 행위자의 일반적인 행동이 되었기 때문입니다. 이로 인해 파일을 손상시키고 유출된 복사본을 데이터 복구 수단으로 사용하는 것에 비해 파일을 암호화하는 안정적이고 안전하며 빠른 랜섬웨어 개발이 중복되고 비용이 많이 들게 되었다고 그들은 말했습니다.
암호화를 완전히 제거하면 RaaS 계열사의 프로세스가 더 빨라지고 피해자가 데이터를 해독하는 다른 방법을 찾아 이익을 잃는 시나리오를 피할 수 있다고 연구진은 지적했습니다.
Mayer는 "이러한 요소는 RaaS 모델을 떠나 계열사가 자체적으로 공격을 가하는 정당한 사례로 최고조에 달합니다"라고 말했습니다. "개발 중심의 랜섬웨어를 데이터 파괴로 대체합니다."
