BlackCat/ALPHV Gang dodaje funkcję Wiper jako taktykę ransomware

Szkodliwe oprogramowanie używane przez BlackCat/ALPHV nadaje nowy obrót grze ransomware, usuwając i niszcząc dane organizacji, a nie tylko je szyfrując. Zdaniem naukowców rozwój ten daje wgląd w kierunek, w którym prawdopodobnie zmierzają motywowane finansowo cyberataki.

Badacze z firm bezpieczeństwa Cyderes i Stairwell zaobserwowali, że narzędzie do eksfiltracji platformy .NET jest wdrażane w odniesieniu do oprogramowania ransomware BlackCat/ALPHV o nazwie Exmatter, które wyszukuje określone typy plików w wybranych katalogach, przesyła je na serwery kontrolowane przez osoby atakujące, a następnie uszkadza i niszczy pliki . Jedynym sposobem na odzyskanie danych jest odkupienie eksfiltrowanych plików z powrotem od gangu.

„Plotki głoszą, że niszczenie danych będzie celem oprogramowania ransomware, ale tak naprawdę nie widzieliśmy tego na wolności”, według jednego z blogu opublikowane niedawno na stronie internetowej Cyderes. Exmatter może oznaczać, że następuje zmiana, pokazując, że cyberprzestępcy aktywnie przygotowują i rozwijają taką zdolność, twierdzą naukowcy.

Badacze Cyderes przeprowadzili wstępną ocenę Exmattera, a następnie po przeanalizowaniu złośliwego oprogramowania zespół Stairwell ds. badań nad zagrożeniami odkrył „częściowo zaimplementowaną funkcję niszczenia danych”. do towarzyszącego wpisu na blogu.

„Stosowanie niszczenia danych przez podmioty stowarzyszone zamiast wdrażania ransomware jako usługi (RaaS) oznaczałoby dużą zmianę w krajobrazie wyłudzania danych i sygnalizowałoby bałkanizację motywowanych finansowo aktorów włamań, którzy obecnie pracują pod banery programów partnerskich RaaS” – zauważyli w poście badacz zagrożeń Stairwell Daniel Mayer i Shelby Kaba, dyrektor operacji specjalnych w Cyderes.

Pojawienie się tej nowej możliwości w Exmatter jest przypomnieniem szybko ewoluującego i coraz bardziej wyrafinowanego krajobrazu zagrożeń, w miarę jak cyberprzestępcy kierują się w stronę znalezienia bardziej kreatywnych sposobów kryminalizacji swojej działalności, zauważa jeden z ekspertów ds. bezpieczeństwa.

„Wbrew powszechnemu przekonaniu, współczesne ataki nie zawsze polegają tylko na kradzieży danych, ale mogą polegać na zniszczeniu, zakłóceniu, uzbrojeniu danych, dezinformacji i/lub propagandzie” — mówi Dark Reading Rajiv Pimplaskar, dyrektor generalny dostawcy bezpiecznej komunikacji Dispersive Holdings.

Te stale ewoluujące zagrożenia wymagają, aby przedsiębiorstwa również musiały zaostrzyć swoją obronę i wdrożyć zaawansowane rozwiązania bezpieczeństwa, które wzmocnią ich odpowiednie powierzchnie ataku i zaciemnią wrażliwe zasoby, co przede wszystkim uczyni je trudnymi celami do ataku, dodaje Pimplaskar.

Poprzednie powiązania z BlackMatter

Przeprowadzona przez naukowców analiza Exmattera nie jest pierwszym przypadkiem, kiedy narzędzie o tej nazwie jest kojarzone z BlackCat/ALPHV. Uważa się, że ta grupa jest prowadzona przez byłych członków różnych gangów ransomware, w tym tych z nieistniejącego już gangu Czarna materia — wykorzystał Exmatter do ekstrakcji danych od ofiar korporacyjnych w grudniu i styczniu, przed wdrożeniem oprogramowania ransomware w ramach podwójnego ataku wymuszającego, badacze z Kaspersky zgłaszane wcześniej.

W rzeczywistości Kaspersky użył Exmattera, znanego również jako Fendr, do powiązania aktywności BlackCat/ALPHV z aktywnością Czarna materia w skrócie groźby, który został opublikowany na początku tego roku.

Próbka Exmattera, którą zbadali badacze Stairwell i Cyderes, jest plikiem wykonywalnym .NET przeznaczonym do eksfiltracji danych przy użyciu protokołów FTP, SFTP i webDAV i zawiera funkcje do uszkadzania plików na dysku, które zostały wyekstrahowane, wyjaśnił Mayer. Jest to zgodne z narzędziem BlackMatter o tej samej nazwie.

Jak działa destruktor Exmatter

Za pomocą procedury o nazwie „Synchronizacja” złośliwe oprogramowanie iteruje przez dyski na zaatakowanej maszynie, generując kolejkę plików o określonych rozszerzeniach plików do eksfiltracji, chyba że znajdują się one w katalogu określonym na zakodowanej na stałe liście blokad złośliwego oprogramowania.

Exmatter może eksfiltrować pliki w kolejce, przesyłając je na kontrolowany przez atakującego adres IP, powiedział Mayer.

„Wyekstrahowane pliki są zapisywane w folderze o tej samej nazwie co nazwa hosta maszyny ofiary na kontrolowanym przez aktora serwerze” — wyjaśnił w poście.

Naukowcy stwierdzili, że proces niszczenia danych leży w klasie zdefiniowanej w próbce o nazwie „Eraser”, która ma działać równolegle z Sync. Gdy Sync przesyła pliki na serwer kontrolowany przez aktorów, dodaje pliki, które zostały pomyślnie skopiowane na zdalny serwer, do kolejki plików do przetworzenia przez Eraser, wyjaśnił Mayer.

Zauważył, że Eraser losowo wybiera dwa pliki z kolejki i nadpisuje Plik 1 fragmentem kodu pobranym z początku drugiego pliku. Technika korupcji może być pomyślana jako taktyka unikania.

„Wykorzystywanie legalnych danych plików z komputera ofiary do uszkodzenia innych plików może być techniką unikania opartego na heurystyce wykrywania oprogramowania ransomware i wycieraczek”, napisał Mayer, „ponieważ kopiowanie danych pliku z jednego pliku do drugiego jest o wiele bardziej prawdopodobne. funkcjonalność w porównaniu z sekwencyjnym nadpisywaniem plików losowymi danymi lub ich szyfrowaniem”. — napisał Majer.

Praca w toku

Naukowcy zauważyli, że istnieje wiele wskazówek wskazujących, że technika uszkadzania danych Exmattera jest w toku, a zatem wciąż jest rozwijana przez grupę ransomware.

Jednym z artefaktów w próbce, który na to wskazuje, jest fakt, że długość fragmentu drugiego pliku, który jest używany do zastąpienia pierwszego pliku, jest ustalana losowo i może wynosić zaledwie 1 bajt.

Proces niszczenia danych nie ma również mechanizmu usuwania plików z kolejki uszkodzenia, co oznacza, że ​​niektóre pliki mogą zostać nadpisane wiele razy przed zakończeniem działania programu, podczas gdy inne mogły nigdy nie zostać wybrane, zauważyli badacze.

Co więcej, funkcja, która tworzy instancję klasy Eraser — trafnie nazwana „Erase” — nie wydaje się być w pełni zaimplementowana w próbce analizowanej przez badaczy, ponieważ nie jest poprawnie dekompilowana.

Dlaczego niszczyć zamiast szyfrować?

Rozwój możliwości uszkadzania i niszczenia danych Naukowcy zauważyli, że zamiast szyfrowania danych ma on szereg korzyści dla podmiotów atakujących oprogramowanie ransomware, zwłaszcza że eksfiltracja danych i podwójne wymuszenie (tj. grożenie wyciekiem skradzionych danych) stało się dość powszechnym zachowaniem cyberprzestępców. To sprawiło, że tworzenie stabilnego, bezpiecznego i szybkiego oprogramowania ransomware do szyfrowania plików stało się zbędne i kosztowne w porównaniu z uszkodzeniem plików i wykorzystaniem eksfiltrowanych kopii jako sposobu na odzyskanie danych.

Całkowite wyeliminowanie szyfrowania może również przyspieszyć proces dla podmiotów stowarzyszonych RaaS, unikając scenariuszy, w których tracą zyski, ponieważ ofiary znajdują inne sposoby na odszyfrowanie danych, zauważyli naukowcy.

„Czynniki te prowadzą do uzasadnionego przypadku, w którym afilianci porzucają model RaaS, aby samodzielnie uderzyć”, zauważył Mayer, „zastępując oprogramowanie ransomware wymagające programowania niszczeniem danych”.