Skadlig programvara som används av BlackCat/ALPHV sätter en ny snurr på ransomware-spelet genom att radera och förstöra en organisations data istället för att bara kryptera den. Utvecklingen ger en glimt av i vilken riktning ekonomiskt motiverade cyberattacker sannolikt är på väg, enligt forskare.
Forskare från säkerhetsföretagen Cyderes och Stairwell har observerat ett .NET-exfiltreringsverktyg som distribueras i relation till BlackCat/ALPHV ransomware som heter Exmatter som söker efter specifika filtyper från utvalda kataloger, laddar upp dem till angriparkontrollerade servrar och sedan korrumperar och förstör filerna . Det enda sättet att hämta data är genom att köpa tillbaka de exfiltrerade filerna från gänget.
"Dataförstöring ryktas vara dit ransomware kommer att gå, men vi har faktiskt inte sett det i det vilda," enligt en blogginlägg publicerades nyligen på Cyderes webbplats. Exmatter kan betyda att bytet sker, vilket visar att hotaktörer aktivt är i färd med att iscensätta och utveckla sådan förmåga, sa forskare.
Cyderes-forskare utförde en första bedömning av Exmatter, sedan upptäckte Stairwells Threat Research Team "delvis implementerad dataförstöringsfunktionalitet" efter att ha analyserat skadlig programvara, enligt till ett medföljande blogginlägg.
"Användningen av dataförstöring av aktörer på affiliate-nivå i stället för utplacering av ransomware-as-a-service (RaaS) skulle markera en stor förändring i datautpressningslandskapet och skulle signalera balkaniseringen av finansiellt motiverade intrångsaktörer som för närvarande arbetar under banderollerna för RaaS affiliate-program”, noterade Stairwell-hotforskaren Daniel Mayer och Shelby Kaba, chef för specialoperationer på Cyderes, i inlägget.
Framväxten av denna nya förmåga i Exmatter är en påminnelse om det snabbt utvecklande och allt mer sofistikerade hotbilden när hotaktörer svänger för att hitta mer kreativa sätt att kriminalisera sin aktivitet, konstaterar en säkerhetsexpert.
"Tvärtemot vad många tror handlar moderna attacker inte alltid bara om att stjäla data, utan kan handla om förstörelse, störningar, datavapen, desinformation och/eller propaganda", säger Rajiv Pimplaskar, vd för säker kommunikationsleverantör Dispersive Holdings, till Dark Reading.
Dessa hot som ständigt utvecklas kräver att företag också måste skärpa sina försvar och distribuera avancerade säkerhetslösningar som hårdnar deras respektive attackytor och fördunklar känsliga resurser, vilket kommer att göra dem svåra att attackera i första hand, tillägger Pimplaskar.
Tidigare band till BlackMatter
Forskarnas analys av Exmatter är inte första gången ett verktyg med detta namn har associerats med BlackCat/ALPHV. Den gruppen – tros drivas av tidigare medlemmar i olika ransomware-gäng, inklusive de från numera nedlagda BlackMatter — använde Exmatter för att exfiltrera data från företagsoffer i december och januari förra december och januari, innan de distribuerade ransomware i en dubbel utpressningsattack, forskare från Kaspersky rapporterats tidigare.
Faktum är att Kaspersky använde Exmatter, även känd som Fendr, för att koppla BlackCat/ALPHV-aktivitet med aktiviteten hos BlackMatter i hotbrevet, som publicerades tidigare i år.
Exemplet av Exmatter som forskare från Stairwell och Cyderes undersökte är en .NET-körbar fil designad för dataexfiltrering med FTP-, SFTP- och webDAV-protokoll, och innehåller funktionalitet för att korrumpera filerna på disken som har exfiltrerats, förklarade Mayer. Det är i linje med BlackMatters verktyg med samma namn.
Hur Exmatter Destructor fungerar
Med hjälp av en rutin som heter "Sync" itererar skadlig programvara genom enheterna på offermaskinen, och genererar en kö av filer med vissa och specifika filtillägg för exfiltrering, såvida de inte finns i en katalog som anges i skadlig programvaras hårdkodade blockeringslista.
Exmatter kan exfiltrera köade filer genom att ladda upp dem till en angriparkontrollerad IP-adress, sa Mayer.
"De exfiltrerade filerna skrivs till en mapp med samma namn som offermaskinens värdnamn på den skådespelarekontrollerade servern", förklarade han i inlägget.
Dataförstöringsprocessen ligger inom en klass definierad i provet som heter "Eraser" som är utformad för att utföras samtidigt med Sync, sa forskare. När Sync laddar upp filer till den aktörskontrollerade servern lägger den till filer som framgångsrikt har kopierats till fjärrservern till en kö med filer som ska behandlas av Eraser, förklarade Mayer.
Eraser väljer två filer slumpmässigt från kön och skriver över fil 1 med en bit kod som är tagen från början av den andra filen, en korruptionsteknik som kan vara avsedd som en undanflyktstaktik, noterade han.
"Att använda legitim fildata från offermaskinen för att korrumpera andra filer kan vara en teknik för att undvika heuristisk-baserad upptäckt för ransomware och torkare", skrev Mayer, "eftersom kopiering av fildata från en fil till en annan är mycket mer rimligt godartad funktionalitet jämfört med att sekventiellt skriva över filer med slumpmässiga data eller kryptera dem.” Mayer skrev.
Pågående arbete
Det finns ett antal ledtrådar som indikerar att Exmatters datakorruptionsteknik är ett pågående arbete och därför fortfarande utvecklas av ransomware-gruppen, noterade forskarna.
En artefakt i provet som pekar på detta är det faktum att den andra filens bitlängd, som används för att skriva över den första filen, bestäms slumpmässigt och kan vara så kort som 1 byte lång.
Dataförstöringsprocessen har inte heller någon mekanism för att ta bort filer från korruptionskön, vilket innebär att vissa filer kan skrivas över flera gånger innan programmet avslutas, medan andra kanske aldrig har valts alls, noterade forskarna.
Dessutom verkar funktionen som skapar instansen av Eraser-klassen – det passande namnet "Erase" – inte vara helt implementerad i provet som forskare analyserade, eftersom det inte dekompilerar korrekt, sa de.
Varför förstöra istället för kryptera?
Utveckla datakorruption och förstörelse i stället för att kryptera data har ett antal fördelar för ransomware-aktörer, noterade forskarna, särskilt som dataexfiltrering och dubbelutpressning (dvs. hotar att läcka stulen data) har blivit ett ganska vanligt beteende hos hotaktörer. Detta har gjort utvecklingen av stabil, säker och snabb ransomware för att kryptera filer överflödig och kostsam jämfört med att korrumpera filer och använda de exfiltrerade kopiorna som ett sätt att återställa data, sa de.
Att eliminera kryptering helt och hållet kan också göra processen snabbare för RaaS affiliates, och undvika scenarier där de förlorar vinster eftersom offren hittar andra sätt att dekryptera data, noterade forskarna.
"Dessa faktorer kulminerar i ett berättigat fall för affiliates som lämnar RaaS-modellen för att slå ut på egen hand", observerade Mayer, "som ersätter utvecklingstung ransomware med dataförstöring."
