แก๊ง BlackCat/ALPHV เพิ่มฟังก์ชัน Wiper เป็นกลยุทธ์แรนซัมแวร์

มัลแวร์ที่ BlackCat/ALPHV ใช้นั้นกำลังพลิกโฉมเกมแรนซัมแวร์ด้วยการลบและทำลายข้อมูลขององค์กรแทนที่จะเข้ารหัสข้อมูลเพียงอย่างเดียว นักวิจัยกล่าวว่าการพัฒนาดังกล่าวทำให้เห็นทิศทางที่การโจมตีทางไซเบอร์ที่มีแรงจูงใจทางการเงินกำลังมุ่งหน้าไป

นักวิจัยจากบริษัทรักษาความปลอดภัย Cyderes และ Stairwell ได้สังเกตเห็นเครื่องมือการกรองข้อมูล .NET ที่ถูกปรับใช้โดยเกี่ยวข้องกับแรนซัมแวร์ BlackCat/ALPHV ที่เรียกว่า Exmatter ซึ่งจะค้นหาประเภทไฟล์เฉพาะจากไดเร็กทอรีที่เลือก อัปโหลดไปยังเซิร์ฟเวอร์ที่ควบคุมโดยผู้โจมตี จากนั้นทำลายและทำลายไฟล์ . วิธีเดียวที่จะดึงข้อมูลกลับมาได้คือการซื้อไฟล์ที่แยกออกจากแก๊งค์

“มีข่าวลือว่าการทำลายข้อมูลเป็นที่มาของแรนซัมแวร์ แต่เราไม่ได้เห็นมันจริง ๆ” ตามรายงานของ a โพสต์บล็อก เผยแพร่เมื่อเร็ว ๆ นี้บนเว็บไซต์ Cyderes Exmatter อาจบ่งบอกว่าสวิตช์กำลังเกิดขึ้น ซึ่งแสดงให้เห็นว่าผู้ก่อภัยคุกคามกำลังอยู่ในกระบวนการจัดเตรียมและพัฒนาความสามารถดังกล่าวอย่างแข็งขัน นักวิจัยกล่าว

นักวิจัยของ Cyderes ทำการประเมินเบื้องต้นของ Exmatter จากนั้นทีมวิจัยภัยคุกคามของ Stairwell ค้นพบ “ฟังก์ชันการทำลายข้อมูลบางส่วนที่ใช้” หลังจากวิเคราะห์มัลแวร์ ไปที่โพสต์บล็อกที่แสดงร่วมกัน.

“การใช้การทำลายข้อมูลโดยนักแสดงระดับพันธมิตรแทนการติดตั้ง ransomware-as-a-service (RaaS) จะทำให้เกิดการเปลี่ยนแปลงครั้งใหญ่ในแนวการขู่กรรโชกข้อมูล และจะส่งสัญญาณถึงการหยุดชะงักของผู้บุกรุกที่มีแรงจูงใจทางการเงินซึ่งกำลังทำงานอยู่ภายใต้ แบนเนอร์ของโปรแกรมพันธมิตร RaaS” Daniel Mayer นักวิจัยภัยคุกคาม Stairwell และ Shelby Kaba ผู้อำนวยการฝ่ายปฏิบัติการพิเศษของ Cyderes กล่าวในโพสต์

การเกิดขึ้นของความสามารถใหม่ใน Exmatter เป็นเครื่องเตือนใจถึงแนวภัยคุกคามที่พัฒนาอย่างรวดเร็วและซับซ้อนมากขึ้น ในขณะที่ผู้คุกคามหันไปหาวิธีที่สร้างสรรค์มากขึ้นในการทำให้กิจกรรมของพวกเขาเป็นอาชญากร ผู้เชี่ยวชาญด้านความปลอดภัยคนหนึ่งกล่าว

“ตรงกันข้ามกับความเชื่อที่แพร่หลาย การโจมตีสมัยใหม่ไม่ได้เป็นเพียงการขโมยข้อมูลเสมอไป แต่อาจเกี่ยวกับการทำลายล้าง การหยุดชะงัก การใช้ข้อมูลเป็นอาวุธ ข้อมูลบิดเบือน และ/หรือการโฆษณาชวนเชื่อ” Rajiv Pimplaskar ซีอีโอของ Dispersive Holdings ผู้ให้บริการการสื่อสารที่ปลอดภัย กล่าวกับ Dark Reading

ภัยคุกคามที่พัฒนาตลอดเวลาเหล่านี้ต้องการให้องค์กรต่างๆ ต้องเพิ่มการป้องกันของตนให้เฉียบคมและปรับใช้โซลูชันการรักษาความปลอดภัยขั้นสูงที่ทำให้พื้นผิวการโจมตีของตนแข็งขึ้นและทำให้ทรัพยากรที่ละเอียดอ่อนยุ่งเหยิง ซึ่งจะทำให้ตกเป็นเป้าหมายที่ยากต่อการโจมตีในตอนแรก Pimplaskar กล่าวเสริม

ความสัมพันธ์กับ BlackMatter ก่อนหน้านี้

การวิเคราะห์ Exmatter ของนักวิจัยไม่ใช่ครั้งแรกที่มีเครื่องมือชื่อนี้เชื่อมโยงกับ BlackCat/ALPHV กลุ่มนั้น — เชื่อว่าดำเนินการโดยอดีตสมาชิกของแก๊งแรนซัมแวร์ต่างๆ รวมถึงกลุ่มที่เลิกใช้แล้ว แบล็คแมทเทอร์ — ใช้ Exmatter เพื่อกรองข้อมูลจากผู้ที่ตกเป็นเหยื่อขององค์กรเมื่อเดือนธันวาคมและมกราคม ก่อนที่จะใช้แรนซัมแวร์ในการโจมตีกรรโชกสองครั้ง นักวิจัยจากแคสเปอร์สกี้ รายงานก่อนหน้านี้.

ในความเป็นจริง Kaspersky ใช้ Exmatter หรือที่เรียกว่า Fendr เพื่อเชื่อมโยงกิจกรรม BlackCat/ALPHV กับกิจกรรมของ แบล็คแมทเทอร์ ในบทสรุปภัยคุกคามซึ่งเผยแพร่เมื่อต้นปีนี้

ตัวอย่างของ Exmatter ที่นักวิจัยของ Stairwell และ Cyderes ตรวจสอบคือไฟล์ปฏิบัติการ .NET ที่ออกแบบมาสำหรับการกรองข้อมูลโดยใช้โปรโตคอล FTP, SFTP และ webDAV และมีฟังก์ชันการทำงานสำหรับทำลายไฟล์บนดิสก์ที่ถูกกรองออกไปแล้ว Mayer อธิบาย ซึ่งสอดคล้องกับเครื่องมือของ BlackMatter ที่มีชื่อเดียวกัน

Exmatter Destructor ทำงานอย่างไร

การใช้รูทีนชื่อ “ซิงค์” มัลแวร์จะวนซ้ำผ่านไดรฟ์ในเครื่องเหยื่อ สร้างคิวของไฟล์ที่มีนามสกุลไฟล์เฉพาะเจาะจงสำหรับการกรอง เว้นแต่ไฟล์เหล่านั้นจะอยู่ในไดเร็กทอรีที่ระบุในรายการบล็อกฮาร์ดโค้ดของมัลแวร์

Exmatter สามารถกรองไฟล์ที่อยู่ในคิวได้โดยการอัปโหลดไปยังที่อยู่ IP ที่ควบคุมโดยผู้โจมตี Mayer กล่าว

“ไฟล์ที่ถูกกรองจะถูกเขียนไปยังโฟลเดอร์ที่มีชื่อเดียวกับชื่อโฮสต์ของเครื่องเหยื่อบนเซิร์ฟเวอร์ที่ควบคุมโดยนักแสดง” เขาอธิบายในโพสต์

กระบวนการทำลายข้อมูลอยู่ในคลาสที่กำหนดไว้ในตัวอย่างชื่อ “Eraser” ซึ่งออกแบบมาเพื่อดำเนินการพร้อมกันกับ Sync นักวิจัยกล่าว เมื่อ Sync อัปโหลดไฟล์ไปยังเซิร์ฟเวอร์ที่ควบคุมโดยนักแสดง มันจะเพิ่มไฟล์ที่คัดลอกสำเร็จไปยังเซิร์ฟเวอร์ระยะไกลไปยังคิวของไฟล์ที่ Eraser จะดำเนินการต่อไป Mayer อธิบาย

ยางลบจะเลือกไฟล์สองไฟล์แบบสุ่มจากคิว และเขียนทับไฟล์ที่ 1 ด้วยโค้ดจำนวนหนึ่งที่นำมาจากจุดเริ่มต้นของไฟล์ที่สอง ซึ่งเป็นเทคนิคการทุจริตที่อาจตั้งใจให้เป็นกลวิธีในการหลบเลี่ยง เขาตั้งข้อสังเกต

“การใช้ข้อมูลไฟล์ที่ถูกต้องจากเครื่องของเหยื่อเพื่อทำให้ไฟล์อื่นๆ เสียหาย อาจเป็นเทคนิคในการหลีกเลี่ยงการตรวจจับแรนซัมแวร์และไวเปอร์ตามฮิวริสติก” Mayer เขียน “เนื่องจากการคัดลอกข้อมูลไฟล์จากไฟล์หนึ่งไปยังอีกไฟล์หนึ่งนั้นดูสมเหตุสมผลกว่ามาก เมื่อเทียบกับการเขียนทับไฟล์ตามลำดับด้วยข้อมูลแบบสุ่มหรือการเข้ารหัส” เมเยอร์เขียน

ความคืบหน้าในการทำงาน

มีเงื่อนงำหลายอย่างที่บ่งชี้ว่าเทคนิคการทำลายข้อมูลของ Exmatter นั้นกำลังอยู่ในระหว่างดำเนินการ และยังคงได้รับการพัฒนาโดยกลุ่มแรนซัมแวร์

สิ่งประดิษฐ์อย่างหนึ่งในตัวอย่างที่ชี้ไปที่สิ่งนี้คือความจริงที่ว่าความยาวกลุ่มของไฟล์ที่สองซึ่งใช้ในการเขียนทับไฟล์แรกนั้นถูกตัดสินแบบสุ่มและอาจสั้นเพียง 1 ไบต์

กระบวนการทำลายข้อมูลยังไม่มีกลไกในการลบไฟล์ออกจากคิวการเสียหาย ซึ่งหมายความว่าไฟล์บางไฟล์อาจถูกเขียนทับหลายครั้งก่อนที่โปรแกรมจะยุติ ในขณะที่บางไฟล์อาจไม่เคยถูกเลือกเลย นักวิจัยตั้งข้อสังเกต

ยิ่งไปกว่านั้น ฟังก์ชันที่สร้างอินสแตนซ์ของคลาส Eraser ซึ่งมีชื่อว่า “Erase” ที่เหมาะเจาะ ดูเหมือนจะไม่ถูกนำมาใช้อย่างสมบูรณ์ในตัวอย่างที่นักวิจัยวิเคราะห์ เนื่องจากมันไม่ได้แยกส่วนอย่างถูกต้อง พวกเขากล่าว

ทำไมต้องทำลายแทนที่จะเข้ารหัส?

ที่กำลังพัฒนา ความสามารถในการทำลายข้อมูลและการทำลายข้อมูล แทนที่จะเข้ารหัสข้อมูลมีประโยชน์มากมายสำหรับตัวแสดงแรนซัมแวร์ นักวิจัยตั้งข้อสังเกต โดยเฉพาะอย่างยิ่งการขโมยข้อมูลและการขู่กรรโชกซ้ำซ้อน (กล่าวคือ การขู่ว่าจะรั่วไหลของข้อมูลที่ถูกขโมย) กลายเป็นพฤติกรรมทั่วไปของผู้คุกคาม สิ่งนี้ทำให้การพัฒนาแรนซัมแวร์ที่เสถียร ปลอดภัย และรวดเร็วเพื่อเข้ารหัสไฟล์ซ้ำซ้อนและมีค่าใช้จ่ายสูงเมื่อเทียบกับไฟล์ที่เสียหาย และใช้สำเนาที่ถูกกรองออกเป็นวิธีการกู้คืนข้อมูล พวกเขากล่าว

การกำจัดการเข้ารหัสพร้อมกันยังทำให้กระบวนการเร็วขึ้นสำหรับบริษัทในเครือ RaaS หลีกเลี่ยงสถานการณ์ที่พวกเขาสูญเสียผลกำไรเนื่องจากผู้ที่ตกเป็นเหยื่อหาวิธีอื่นในการถอดรหัสข้อมูล นักวิจัยกล่าว

“ปัจจัยเหล่านี้นำไปสู่กรณีที่สมเหตุสมผลสำหรับบริษัทในเครือที่ปล่อยให้โมเดล RaaS หยุดทำงานด้วยตัวเอง” Mayer กล่าว “แทนที่แรนซัมแวร์ที่เน้นการพัฒนาด้วยการทำลายข้อมูล”