BlackCat/ALPHV tarafından kullanılan kötü amaçlı yazılım, bir kuruluşun verilerini yalnızca şifrelemek yerine silerek ve yok ederek fidye yazılımı oyununa yeni bir boyut kazandırıyor. Araştırmacılara göre bu gelişme, finansal motivasyonlu siber saldırıların muhtemelen hangi yöne doğru ilerleyeceğine dair bir fikir veriyor.
Cyderes ve Stairwell güvenlik firmalarından araştırmacılar, Exmatter adlı BlackCat/ALPHV fidye yazılımıyla bağlantılı olarak, seçilen dizinlerdeki belirli dosya türlerini arayan, bunları saldırganın kontrolündeki sunuculara yükleyen ve ardından dosyaları bozup yok eden bir .NET sızma aracının konuşlandırıldığını gözlemlediler. . Verileri geri almanın tek yolu, sızdırılan dosyaları çeteden geri satın almaktır.
Bir rapora göre, "Fidye yazılımının gideceği yerin veri imhası olduğu söyleniyor, ancak bunu gerçekte vahşi ortamda görmedik." blog yazısı yakın zamanda Cyderes web sitesinde yayınlandı. Araştırmacılar, Exmatter'ın, tehdit aktörlerinin aktif olarak bu tür bir yeteneği hazırlama ve geliştirme sürecinde olduğunu göstererek geçişin gerçekleştiğini gösterebileceğini söyledi.
Cyderes araştırmacıları Exmatter'ın ilk değerlendirmesini gerçekleştirdi, ardından Stairwell'in Tehdit Araştırma Ekibi, kötü amaçlı yazılımı analiz ettikten sonra "kısmen uygulanan veri imha işlevselliğini" keşfetti. tamamlayıcı bir blog gönderisine.
“Hizmet olarak fidye yazılımı (RaaS) dağıtımı yerine bağlı kuruluş düzeyindeki aktörler tarafından veri imhasının kullanılması, veri gaspı ortamında büyük bir değişime işaret edecek ve şu anda altında çalışmakta olan mali motivasyonlu izinsiz giriş aktörlerinin balkanlaşmasına işaret edecektir. Stairwell tehdit araştırmacısı Daniel Mayer ve Cyderes özel operasyonlar direktörü Shelby Kaba, gönderide RaaS bağlı kuruluş programlarının afişlerini belirtti.
Bir güvenlik uzmanı, Exmatter'da bu yeni yeteneğin ortaya çıkmasının, tehdit aktörlerinin faaliyetlerini suç saymak için daha yaratıcı yollar bulmaya yöneldiği, hızla gelişen ve giderek karmaşıklaşan tehdit ortamını hatırlattığını belirtiyor.
Güvenli iletişim sağlayıcısı Dispersive Holdings'in CEO'su Rajiv Pimplaskar, Dark Reading'e şunları söylüyor: "Popüler inanışın aksine, modern saldırılar her zaman yalnızca veri çalmakla ilgili değildir; aynı zamanda yıkım, kesinti, veri silahlandırması, dezenformasyon ve/veya propaganda ile de ilgili olabilir."
Pimplaskar, sürekli gelişen bu tehditlerin aynı zamanda kuruluşların savunmalarını keskinleştirmelerini ve ilgili saldırı yüzeylerini güçlendiren ve hassas kaynakları gizleyen gelişmiş güvenlik çözümleri kullanmalarını gerektirdiğini, bunun da onları ilk etapta saldırıya uğraması zor hedefler haline getireceğini ekliyor.
Önceki BlackMatter ile Bağlantılar
Araştırmacıların Exmatter analizi, bu isimdeki bir aracın BlackCat/ALPHV ile ilişkilendirildiği ilk sefer değil. Bu grubun, şu anda feshedilmiş olanlar da dahil olmak üzere, çeşitli fidye yazılımı çetelerinin eski üyeleri tarafından yönetildiğine inanılıyor. KaraMadde Kaspersky araştırmacıları, çifte gasp saldırısında fidye yazılımını devreye sokmadan önce geçen Aralık ve Ocak aylarında kurumsal kurbanlardan veri sızdırmak için Exmatter'ı kullandı daha önce bildirildi.
Aslında Kaspersky, BlackCat/ALPHV etkinliğini BlackCat/ALPHV etkinliğiyle ilişkilendirmek için Fendr olarak da bilinen Exmatter'ı kullandı. KaraMadde tehdit özetiBu yılın başlarında yayınlandı.
Mayer, Stairwell ve Cyderes araştırmacılarının incelediği Exmatter örneğinin, FTP, SFTP ve webDAV protokollerini kullanarak veri sızdırma için tasarlanmış bir .NET yürütülebilir dosyası olduğunu ve diskteki sızdırılan dosyaları bozmaya yönelik işlevsellik içerdiğini açıkladı. Bu, BlackMatter'ın aynı isimli aracıyla uyumludur.
Exmatter Destructor Nasıl Çalışır?
Kötü amaçlı yazılım, "Senkronizasyon" adlı bir rutini kullanarak, kurbanın makinesindeki sürücüler arasında yineleme yaparak, kötü amaçlı yazılımın sabit kodlu engelleme listesinde belirtilen bir dizinde bulunmadıkları sürece, sızmak için belirli ve belirli dosya uzantılarından oluşan bir dosya kuyruğu oluşturur.
Mayer, Exmatter'ın sıradaki dosyaları saldırgan tarafından kontrol edilen bir IP adresine yükleyerek dışarı sızdırabileceğini söyledi.
Gönderisinde "Sızdırılan dosyalar, aktör tarafından kontrol edilen sunucudaki kurban makinenin ana bilgisayar adıyla aynı adı taşıyan bir klasöre yazılıyor" diye açıkladı.
Araştırmacılar, veri imha sürecinin, Sync ile eşzamanlı olarak yürütülmek üzere tasarlanan "Silgi" adlı örnekte tanımlanan bir sınıfta yer aldığını söyledi. Mayer, Sync'in aktör kontrollü sunucuya dosya yüklemesi sırasında uzak sunucuya başarıyla kopyalanan dosyaları Eraser tarafından işlenecek dosya kuyruğuna eklediğini açıkladı.
Eraser'ın sıradan iki dosyayı rastgele seçtiğini ve ikinci dosyanın başından alınan bir kod yığınını Dosya 1'in üzerine yazdığını, bunun bir kaçırma taktiği olarak düşünülmüş olabilecek bir yolsuzluk tekniği olduğunu belirtti.
Mayer şöyle yazdı: "Kurban makinedeki meşru dosya verilerini diğer dosyaları bozmak için kullanma eylemi, fidye yazılımları ve temizleyiciler için buluşsal tabanlı tespitten kaçınmaya yönelik bir teknik olabilir," diye yazdı Mayer, "dosya verilerinin bir dosyadan diğerine kopyalanması çok daha makul bir şekilde zararsız bir davranıştır" Rastgele verilerle dosyaların üzerine sırayla yazmak veya bunları şifrelemek ile karşılaştırıldığında işlevsellik." Mayer yazdı.
Devam Çalışma
Araştırmacılar, Exmatter'ın veri bozma tekniğinin devam eden bir çalışma olduğunu ve dolayısıyla fidye yazılımı grubu tarafından hala geliştirildiğini gösteren bir dizi ipucu bulunduğunu belirtti.
Örnekteki buna işaret eden bir yapı, ikinci dosyanın birinci dosyanın üzerine yazmak için kullanılan parça uzunluğunun rastgele kararlaştırılması ve 1 bayt kadar kısa olabilmesidir.
Araştırmacılar, veri imha sürecinin aynı zamanda dosyaları yolsuzluk kuyruğundan kaldırmaya yönelik bir mekanizmasının bulunmadığını, bunun da program sonlandırılmadan önce bazı dosyaların üzerine birçok kez yazılabileceği, bazılarının ise hiç seçilmemiş olabileceği anlamına geldiğini belirtti.
Üstelik, Eraser sınıfının örneğini oluşturan işlevin - uygun bir şekilde "Sil" olarak adlandırıldığı - araştırmacıların analiz ettiği örnekte tam olarak uygulanmadığını, çünkü doğru şekilde kaynak koda dönüştürülmediğini söylediler.
Neden Şifrelemek Yerine Yok Etmelisiniz?
Gelişen veri bozulması ve imha yetenekleri Araştırmacılar, verileri şifrelemenin fidye yazılımı aktörleri için çok sayıda fayda sağladığını, özellikle de veri hırsızlığının ve çifte gaspın (yani çalıntı verileri sızdırma tehdidi) tehdit aktörlerinin oldukça yaygın bir davranışı haline geldiğini belirtti. Bunun, dosyaları şifrelemek için istikrarlı, güvenli ve hızlı fidye yazılımı geliştirmeyi, dosyaları bozmaya ve sızdırılan kopyaları veri kurtarma aracı olarak kullanmaya kıyasla gereksiz ve maliyetli hale getirdiğini söylediler.
Araştırmacılar, şifrelemenin tamamen ortadan kaldırılmasının, RaaS bağlı kuruluşları için süreci daha hızlı hale getirebileceğini ve mağdurların verilerin şifresini çözmenin başka yollarını bulmaları nedeniyle kârlarını kaybedecekleri senaryolardan kaçınabileceğini belirtti.
Mayer, "Bu faktörler, bağlı kuruluşların RaaS modelini terk etmeleri ve kendi başlarına harekete geçmeleri için haklı bir durumla sonuçlanıyor," dedi ve "geliştirme ağırlıklı fidye yazılımlarının yerine veri imhasını koydular."
