Вредоносное ПО, используемое BlackCat/ALPHV, вносит новый виток в игру вымогателей, удаляя и уничтожая данные организации, а не просто шифруя их. По мнению исследователей, разработка дает представление о направлении, в котором, вероятно, движутся финансово мотивированные кибератаки.
Исследователи из фирм по обеспечению безопасности Cyderes и Stairwell наблюдали за развертыванием инструмента эксфильтрации .NET в отношении программы-вымогателя BlackCat/ALPHV под названием Exmatter, которая ищет определенные типы файлов в выбранных каталогах, загружает их на серверы, контролируемые злоумышленниками, а затем повреждает и уничтожает файлы. . Единственный способ получить данные — купить эксфильтрованные файлы у банды.
«Ходят слухи, что уничтожение данных — это место, куда отправятся программы-вымогатели, но на самом деле мы не видели этого в дикой природе», — говорится в сообщении. блоге опубликовано недавно на сайте Cyderes. По словам исследователей, Exmatter может означать, что происходит переключение, демонстрируя, что субъекты угроз активно находятся в процессе создания и развития таких возможностей.
Исследователи Cyderes провели первоначальную оценку Exmatter, затем группа по исследованию угроз Stairwell обнаружила «частично реализованную функцию уничтожения данных» после анализа вредоносного ПО. к сопутствующей записи в блоге.
«Использование уничтожения данных субъектами аффилированного уровня вместо развертывания программы-вымогателя как услуги (RaaS) ознаменовало бы большой сдвиг в ландшафте вымогательства данных и сигнализировало бы о разделении финансово мотивированных субъектов вторжения, которые в настоящее время работают под баннеры партнерских программ RaaS», — отметили в своем посте исследователь угроз Stairwell Дэниел Майер и Шелби Каба, директор по специальным операциям Cyderes.
Появление этой новой возможности в Exmatter является напоминанием о быстро развивающемся и все более сложном ландшафте угроз, поскольку злоумышленники пытаются найти более творческие способы криминализации своей деятельности, отмечает один эксперт по безопасности.
«Вопреки распространенному мнению, современные атаки не всегда связаны с кражей данных, они могут быть связаны с уничтожением, разрушением, превращением данных в оружие, дезинформацией и/или пропагандой», — сказал Dark Reading Раджив Пимпласкар, генеральный директор поставщика защищенных коммуникаций Dispersive Holdings.
Эти постоянно развивающиеся угрозы требуют, чтобы предприятия также обостряли свою защиту и развертывали передовые решения в области безопасности, которые укрепляют их соответствующие поверхности для атак и запутывают конфиденциальные ресурсы, что в первую очередь сделает их сложными целями для атак, добавляет Пимпласкар.
Предыдущие связи с BlackMatter
Анализ Exmatter, проведенный исследователями, — не первый раз, когда инструмент с таким названием ассоциируется с BlackCat/ALPHV. Эта группа, как полагают, управляется бывшими членами различных банд вымогателей, в том числе из ныне несуществующих БлэкМатер — использовали Exmatter для извлечения данных корпоративных жертв в прошлом декабре и январе, прежде чем развернуть программу-вымогатель в атаке с двойным вымогательством, исследователи из «Лаборатории Касперского» ранее сообщалось.
Фактически, «Лаборатория Касперского» использовала Exmatter, также известную как Fendr, чтобы связать активность BlackCat/ALPHV с активностью БлэкМатер в сводке угроз, который был опубликован в начале этого года.
Образец Exmatter, который исследовали исследователи Stairwell и Cyderes, представляет собой исполняемый файл .NET, предназначенный для кражи данных с использованием протоколов FTP, SFTP и webDAV, и содержит функции для повреждения файлов на диске, которые были удалены, пояснил Майер. Это соответствует одноименному инструменту BlackMatter.
Как работает деструктор Exmatter
Используя процедуру под названием «Синхронизация», вредоносное ПО перебирает диски на компьютере-жертве, создавая очередь файлов с определенными и определенными расширениями для эксфильтрации, если только они не находятся в каталоге, указанном в жестко запрограммированном черном списке вредоносного ПО.
По словам Майера, Exmatter может извлекать файлы из очереди, загружая их на контролируемый злоумышленниками IP-адрес.
«Удаленные файлы записываются в папку с тем же именем, что и имя хоста компьютера-жертвы на сервере, контролируемом субъектом», — пояснил он в своем посте.
По словам исследователей, процесс уничтожения данных находится в классе, определенном в образце под названием «Eraser», который предназначен для выполнения одновременно с Sync. По мере того, как Sync загружает файлы на сервер, контролируемый актером, он добавляет файлы, которые были успешно скопированы на удаленный сервер, в очередь файлов, которые должны быть обработаны Eraser, пояснил Майер.
Eraser случайным образом выбирает два файла из очереди и перезаписывает файл 1 фрагментом кода, взятым из начала второго файла, — метод повреждения, который может быть задуман как тактика уклонения, отметил он.
«Использование законных файловых данных с компьютера-жертвы для повреждения других файлов может быть методом, позволяющим избежать эвристического обнаружения программ-вымогателей и вайперов, — пишет Майер, — поскольку копирование файловых данных из одного файла в другой гораздо более безопасно». функциональность по сравнению с последовательной перезаписью файлов случайными данными или их шифрованием». Майер написал.
Работа в процессе
Исследователи отметили, что есть ряд подсказок, указывающих на то, что техника повреждения данных Exmatter находится в стадии разработки и, следовательно, все еще разрабатывается группой вымогателей.
Один артефакт в образце, указывающий на это, заключается в том, что длина фрагмента второго файла, который используется для перезаписи первого файла, определяется случайным образом и может составлять всего 1 байт.
Исследователи отметили, что процесс уничтожения данных также не имеет механизма для удаления файлов из очереди повреждения, а это означает, что некоторые файлы могут быть перезаписаны несколько раз до завершения работы программы, а другие могут вообще никогда не выбираться.
Более того, функция, создающая экземпляр класса Eraser, названная «Erase», не полностью реализована в проанализированном исследователями образце, поскольку, по их словам, она неправильно декомпилируется.
Зачем уничтожать, а не шифровать?
Развивающийся возможности повреждения и уничтожения данных Исследователи отметили, что вместо шифрования данных есть ряд преимуществ для злоумышленников, особенно с учетом того, что эксфильтрация данных и двойное вымогательство (то есть угроза утечки украденных данных) стали довольно распространенным поведением злоумышленников. Это сделало разработку стабильных, безопасных и быстрых программ-вымогателей для шифрования файлов избыточной и дорогостоящей по сравнению с повреждением файлов и использованием удаленных копий в качестве средства восстановления данных, заявили они.
Исследователи отметили, что полное устранение шифрования также может ускорить процесс для филиалов RaaS, избегая сценариев, в которых они теряют прибыль из-за того, что жертвы находят другие способы расшифровки данных.
«Эти факторы достигают кульминации в обоснованном случае, когда аффилированные лица отказываются от модели RaaS, чтобы действовать самостоятельно, — заметил Майер, — заменяя программы-вымогатели с большим количеством разработок уничтожением данных».
- блокчейн
- кошельки с криптовалютами
- cryptoexchange
- информационная безопасность
- киберпреступники
- Информационная безопасность
- Темное чтение
- Департамент внутренней безопасности
- цифровые кошельки
- брандмауэр
- Kaspersky
- вредоносных программ
- Mcafee
- НексБЛОК
- Платон
- Платон Ай
- Платон Интеллектуальные данные
- Платон игра
- ПлатонДанные
- платогейминг
- VPN
- безопасности веб-сайтов
