Skadelig programvare brukt av BlackCat/ALPHV setter et nytt spinn på løsepengevarespillet ved å slette og ødelegge en organisasjons data i stedet for bare å kryptere dem. Utviklingen gir et glimt av retningen som økonomisk motiverte cyberangrep sannsynligvis er på vei, ifølge forskere.
Forskere fra sikkerhetsfirmaene Cyderes og Stairwell har observert at et .NET-eksfiltreringsverktøy blir distribuert i forhold til BlackCat/ALPHV-ransomware kalt Exmatter som søker etter spesifikke filtyper fra utvalgte kataloger, laster dem opp til angriperkontrollerte servere, og deretter ødelegger og ødelegger filene . Den eneste måten å hente dataene på er ved å kjøpe de eksfiltrerte filene tilbake fra gjengen.
"Det ryktes at dataødeleggelse er der løsepengevare kommer til å gå, men vi har faktisk ikke sett det i naturen," ifølge en blogginnlegg nylig publisert på Cyderes-nettstedet. Exmatter kan bety at byttet skjer, og demonstrerer at trusselaktører er aktivt i ferd med å iscenesette og utvikle slik evne, sa forskere.
Cyderes-forskere utførte en innledende vurdering av Exmatter, deretter oppdaget Stairwells Threat Research Team "delvis implementert datadestruksjonsfunksjonalitet" etter å ha analysert skadelig programvare, ifølge til et følgeblogginnlegg.
«Bruk av dataødeleggelse av tilknyttede aktører i stedet for ransomware-as-a-service (RaaS)-distribusjon vil markere et stort skifte i datautpressingslandskapet, og vil signalisere balkaniseringen av økonomisk motiverte inntrengningsaktører som for tiden jobber under bannerne til RaaS-tilknyttede programmer,» bemerket Stairwell-trusselsforsker Daniel Mayer og Shelby Kaba, direktør for spesialoperasjoner ved Cyderes, i innlegget.
Fremveksten av denne nye evnen i Exmatter er en påminnelse om det raskt utviklende og stadig mer sofistikerte trussellandskapet ettersom trusselaktører svinger for å finne mer kreative måter å kriminalisere aktiviteten deres på, bemerker en sikkerhetsekspert.
"I motsetning til det mange tror, handler moderne angrep ikke alltid bare om å stjele data, men kan dreie seg om ødeleggelse, forstyrrelse, datavåpen, desinformasjon og/eller propaganda," sier Rajiv Pimplaskar, administrerende direktør for sikker kommunikasjonsleverandør Dispersive Holdings, til Dark Reading.
Disse truslene i stadig utvikling krever at bedrifter også må skjerpe forsvaret og distribuere avanserte sikkerhetsløsninger som herder deres respektive angrepsoverflater og skjuler sensitive ressurser, noe som vil gjøre dem vanskelige mål å angripe i utgangspunktet, legger Pimplaskar til.
Tidligere bånd til BlackMatter
Forskernes analyse av Exmatter er ikke første gang et verktøy med dette navnet har blitt assosiert med BlackCat/ALPHV. Denne gruppen - antas å være drevet av tidligere medlemmer av forskjellige gjenger for løsepengeprogram, inkludert de fra nå nedlagte BlackMatter – brukte Exmatter til å eksfiltrere data fra bedriftsofre i desember og januar i fjor, før de distribuerte løsepengevare i et dobbelt utpressingsangrep, sa forskere fra Kaspersky rapportert tidligere.
Faktisk brukte Kaspersky Exmatter, også kjent som Fendr, for å koble BlackCat/ALPHV-aktivitet med aktiviteten til BlackMatter i trusselbrevet, som ble publisert tidligere i år.
Eksemplet av Exmatter som Stairwell og Cyderes forskere undersøkte er en .NET kjørbar utformet for dataeksfiltrering ved hjelp av FTP-, SFTP- og webDAV-protokoller, og inneholder funksjonalitet for å ødelegge filene på disken som har blitt eksfiltrert, forklarte Mayer. Det stemmer overens med BlackMatters verktøy med samme navn.
Hvordan Exmatter Destructor fungerer
Ved å bruke en rutine som heter "Sync", itererer skadelig programvare gjennom stasjonene på offermaskinen, og genererer en kø med filer med visse og spesifikke filutvidelser for eksfiltrering, med mindre de er plassert i en katalog som er spesifisert i skadevarens hardkodede blokkeringsliste.
Exmatter kan eksfiltrere filer i kø ved å laste dem opp til en angriperkontrollert IP-adresse, sa Mayer.
"De eksfiltrerte filene skrives til en mappe med samme navn som offermaskinens vertsnavn på den skuespillerkontrollerte serveren," forklarte han i innlegget.
Data-destruksjonsprosessen ligger innenfor en klasse definert i prøven kalt "Eraser" som er designet for å utføres samtidig med Sync, sa forskere. Ettersom Sync laster opp filer til den aktørkontrollerte serveren, legger den til filer som er vellykket kopiert til den eksterne serveren til en kø med filer som skal behandles av Eraser, forklarte Mayer.
Eraser velger to filer tilfeldig fra køen og overskriver fil 1 med en kodebit som er tatt fra begynnelsen av den andre filen, en korrupsjonsteknikk som kan være ment som en unnvikelsestaktikk, bemerket han.
«Det å bruke legitime fildata fra offermaskinen til å ødelegge andre filer kan være en teknikk for å unngå heuristisk-basert gjenkjenning for løsepengeprogramvare og vindusviskere,» skrev Mayer, «ettersom kopiering av fildata fra en fil til en annen er mye mer plausibelt godartet. funksjonalitet sammenlignet med å sekvensielt overskrive filer med tilfeldige data eller kryptere dem." Mayer skrev.
Arbeid på går
Det er en rekke ledetråder som tyder på at Exmatters datakorrupsjonsteknikk er et arbeid som pågår og derfor fortsatt utvikles av løsepengevaregruppen, bemerket forskerne.
En artefakt i prøven som peker på dette er det faktum at den andre filens dellengde, som brukes til å overskrive den første filen, er tilfeldig bestemt og kan være så kort som 1 byte lang.
Data-destruksjonsprosessen har heller ingen mekanisme for å fjerne filer fra korrupsjonskøen, noe som betyr at noen filer kan bli overskrevet flere ganger før programmet avsluttes, mens andre kanskje aldri har blitt valgt i det hele tatt, bemerket forskerne.
Dessuten ser ikke funksjonen som oppretter forekomsten av Eraser-klassen - passende kalt "Erase" ut til å være fullt implementert i prøven som forskere analyserte, siden den ikke dekompileres riktig, sa de.
Hvorfor ødelegge i stedet for kryptere?
Utvikle datakorrupsjon og -destruksjon i stedet for å kryptere data har en rekke fordeler for løsepengevareaktører, bemerket forskerne, spesielt ettersom dataeksfiltrering og dobbeltutpressing (dvs. truer med å lekke stjålne data) har blitt en ganske vanlig oppførsel for trusselaktører. Dette har gjort utvikling av stabil, sikker og rask løsepengevare for å kryptere filer overflødig og kostbar sammenlignet med å korrupte filer og bruke de eksfiltrerte kopiene som middel for datagjenoppretting, sa de.
Å eliminere kryptering helt kan også gjøre prosessen raskere for RaaS-tilknyttede selskaper, og unngå scenarier der de taper fortjeneste fordi ofrene finner andre måter å dekryptere dataene på, bemerket forskerne.
"Disse faktorene kulminerer i en forsvarlig sak for tilknyttede selskaper som forlater RaaS-modellen for å slå ut på egenhånd," observerte Mayer, "erstatter utviklingstung løsepengevare med dataødeleggelse."
