Malware van BlackCat/ALPHV geeft een nieuwe draai aan het ransomware-spel door de gegevens van een organisatie te verwijderen en te vernietigen in plaats van deze alleen maar te versleutelen. De ontwikkeling biedt volgens onderzoekers een glimp van de richting waarin financieel gemotiveerde cyberaanvallen waarschijnlijk gaan.
Onderzoekers van beveiligingsbedrijven Cyderes en Stairwell hebben waargenomen dat er een .NET-exfiltratietool wordt ingezet in verband met de BlackCat/ALPHV-ransomware genaamd Exmatter. Deze tool zoekt naar specifieke bestandstypen uit geselecteerde mappen, uploadt deze naar door de aanvaller gecontroleerde servers en corrumpeert en vernietigt vervolgens de bestanden. . De enige manier om de gegevens terug te halen is door de geëxfiltreerde bestanden terug te kopen van de bende.
"Het gerucht gaat dat datavernietiging de plek is waar ransomware naartoe zal gaan, maar we hebben het nog niet in het wild gezien", aldus een blogpost onlangs gepubliceerd op de website van Cyderes. Exmatter zou kunnen betekenen dat de omschakeling plaatsvindt, wat aantoont dat dreigingsactoren actief bezig zijn met het organiseren en ontwikkelen van dergelijke capaciteiten, aldus onderzoekers.
Cyderes-onderzoekers voerden een eerste beoordeling van Exmatter uit, waarna Stairwell's Threat Research Team "gedeeltelijk geïmplementeerde functionaliteit voor gegevensvernietiging" ontdekte na analyse van de malware, aldus naar een begeleidende blogpost.
“Het gebruik van datavernietiging door actoren op affiliate-niveau in plaats van de inzet van ransomware-as-a-service (RaaS) zou een grote verschuiving markeren in het landschap van data-afpersing, en zou een signaal zijn van de balkanisering van financieel gemotiveerde inbraakactoren die momenteel onder druk staan. de uithangborden van RaaS-partnerprogramma’s”, merkten Stairwell-dreigingsonderzoeker Daniel Mayer en Shelby Kaba, directeur van speciale operaties bij Cyderes, op in de post.
De opkomst van deze nieuwe mogelijkheid in Exmatter herinnert ons aan het zich snel ontwikkelende en steeds geavanceerdere dreigingslandschap waarin dreigingsactoren creatievere manieren zoeken om hun activiteiten te criminaliseren, merkt een beveiligingsexpert op.
“In tegenstelling tot wat vaak wordt gedacht, gaan moderne aanvallen niet altijd alleen over het stelen van gegevens, maar kunnen ze ook gaan over vernietiging, verstoring, databewapening, desinformatie en/of propaganda”, vertelt Rajiv Pimplaskar, CEO van aanbieder van veilige communicatie Dispersive Holdings, aan Dark Reading.
Deze steeds evoluerende bedreigingen vereisen dat bedrijven ook hun verdediging moeten aanscherpen en geavanceerde beveiligingsoplossingen moeten inzetten die hun aanvalsoppervlakken verharden en gevoelige bronnen verduisteren, wat hen in de eerste plaats lastige doelwitten maakt om aan te vallen, voegt Pimplaskar toe.
Eerdere banden met BlackMatter
De analyse van Exmatter door de onderzoekers is niet de eerste keer dat een tool met deze naam in verband wordt gebracht met BlackCat/ALPHV. Deze groep wordt vermoedelijk geleid door voormalige leden van verschillende ransomwarebendes, waaronder die van inmiddels ter ziele gegane bendes zwarte materie – gebruikten Exmatter om gegevens van bedrijfsslachtoffers afgelopen december en januari te exfiltreren, voordat ransomware werd ingezet in een dubbele afpersingsaanval, onderzoekers van Kaspersky eerder gerapporteerd.
Kaspersky gebruikte Exmatter, ook bekend als Fendr, om de BlackCat/ALPHV-activiteit te koppelen aan die van zwarte materie in de dreigingsbrief, dat eerder dit jaar werd gepubliceerd.
Het voorbeeld van Exmatter dat de onderzoekers van Stairwell en Cyderes hebben onderzocht, is een .NET-uitvoerbaar bestand dat is ontworpen voor data-exfiltratie met behulp van FTP-, SFTP- en webDAV-protocollen, en bevat functionaliteit voor het corrumperen van de bestanden op schijf die zijn geëxfiltreerd, legt Mayer uit. Dat komt overeen met de gelijknamige tool van BlackMatter.
Hoe de Exmatter Destructor werkt
Met behulp van een routine met de naam 'Sync' doorloopt de malware de schijven op de computer van het slachtoffer, waarbij een wachtrij met bestanden met bepaalde en specifieke bestandsextensies wordt gegenereerd voor exfiltratie, tenzij deze zich in een map bevinden die is opgegeven in de hardgecodeerde blokkeerlijst van de malware.
Exmatter kan bestanden in de wachtrij exfiltreren door ze te uploaden naar een door de aanvaller gecontroleerd IP-adres, zei Mayer.
“De geëxfiltreerde bestanden worden naar een map geschreven met dezelfde naam als de hostnaam van de slachtoffermachine op de door de acteur bestuurde server”, legde hij uit in de post.
Het gegevensvernietigingsproces ligt binnen een klasse die is gedefinieerd in het voorbeeld met de naam "Eraser" en die is ontworpen om gelijktijdig met Sync te worden uitgevoerd, aldus onderzoekers. Terwijl Sync bestanden uploadt naar de door een actor bestuurde server, worden bestanden die met succes naar de externe server zijn gekopieerd, toegevoegd aan een wachtrij met bestanden die door Eraser moeten worden verwerkt, legt Mayer uit.
Eraser selecteert willekeurig twee bestanden uit de wachtrij en overschrijft bestand 1 met een stuk code dat afkomstig is uit het begin van het tweede bestand, een corruptietechniek die mogelijk bedoeld is als ontwijkingstactiek, merkte hij op.
“Het gebruik van legitieme bestandsgegevens van de slachtoffermachine om andere bestanden te corrumperen kan een techniek zijn om op heuristiek gebaseerde detectie van ransomware en wipers te voorkomen”, schreef Mayer, “aangezien het kopiëren van bestandsgegevens van het ene bestand naar het andere veel plausibeler is. functionaliteit vergeleken met het opeenvolgend overschrijven van bestanden met willekeurige gegevens of het versleutelen ervan.” Mayer schreef.
Lopende werkzaamheden
Er zijn een aantal aanwijzingen die erop wijzen dat de datacorruptietechniek van Exmatter een werk in uitvoering is en dus nog steeds wordt ontwikkeld door de ransomwaregroep, aldus de onderzoekers.
Eén artefact in het voorbeeld dat hierop wijst, is het feit dat de chunklengte van het tweede bestand, die wordt gebruikt om het eerste bestand te overschrijven, willekeurig wordt bepaald en slechts 1 byte lang kan zijn.
Het gegevensvernietigingsproces heeft ook geen mechanisme om bestanden uit de corruptiewachtrij te verwijderen, wat betekent dat sommige bestanden meerdere keren kunnen worden overschreven voordat het programma wordt beëindigd, terwijl andere misschien helemaal nooit zijn geselecteerd, merkten de onderzoekers op.
Bovendien lijkt de functie die de instantie van de Eraser-klasse creëert – toepasselijk genaamd ‘Erase’ – niet volledig geïmplementeerd te zijn in de steekproef die onderzoekers hebben geanalyseerd, omdat deze niet correct decompileert, zeiden ze.
Waarom vernietigen in plaats van coderen?
Het ontwikkelen van mogelijkheden voor gegevenscorruptie en -vernietiging in plaats van het versleutelen van gegevens heeft een aantal voordelen voor ransomware-actoren, merkten de onderzoekers op, vooral omdat data-exfiltratie en dubbele afpersing (dat wil zeggen, dreigen met het lekken van gestolen gegevens) een veel voorkomend gedrag van bedreigingsactoren is geworden. Dit heeft het ontwikkelen van stabiele, veilige en snelle ransomware om bestanden te versleutelen overbodig en kostbaar gemaakt in vergelijking met het corrumperen van bestanden en het gebruik van de geëxfiltreerde kopieën als middel voor gegevensherstel, zeiden ze.
Het volledig elimineren van encryptie kan het proces ook sneller maken voor RaaS-filialen, waardoor scenario's worden vermeden waarin ze winst verliezen omdat slachtoffers andere manieren vinden om de gegevens te decoderen, merkten de onderzoekers op.
“Deze factoren culmineren in een gerechtvaardigd argument voor affiliates die het RaaS-model verlaten en op eigen kracht aan de slag gaan,” merkte Mayer op, “door ontwikkelingszware ransomware te vervangen door gegevensvernietiging.”
