Зловмисне програмне забезпечення, яким володіє BlackCat/ALPHV, по-новому обертається у програмі-вимагачі, видаляючи та знищуючи дані організації, а не просто шифруючи їх. За словами дослідників, ця розробка дає змогу побачити напрямок, у якому ймовірно рухаються фінансово мотивовані кібератаки.
Дослідники з охоронних фірм Cyderes і Stairwell помітили, що інструмент ексфільтрації .NET розгортається по відношенню до програм-вимагачів BlackCat/ALPHV під назвою Exmatter, який шукає певні типи файлів у вибраних каталогах, завантажує їх на сервери, контрольовані зловмисниками, а потім пошкоджує та знищує файли. . Єдиний спосіб отримати дані — придбати викрадені файли у банди.
«Ходять чутки, знищення даних — це те місце, куди потрапляють програми-вимагачі, але ми насправді цього не бачили в дикій природі», — повідомляє блог нещодавно опубліковано на веб-сайті Cyderes. Exmatter може означати, що відбувається перемикання, демонструючи, що суб’єкти загрози активно перебувають у процесі створення та розвитку таких можливостей, вважають дослідники.
Дослідники Cyderes провели початкову оцінку Exmatter, а потім команда Stairwell Threat Research Team виявила «частково реалізовану функцію знищення даних» після аналізу зловмисного програмного забезпечення. до супровідної публікації в блозі.
«Використання знищення даних суб’єктами на рівні афілійованих осіб замість розгортання програм-вимагачів як послуги (RaaS) означатиме значні зміни в ландшафті вимагання даних і буде сигналом про балканізацію фінансово мотивованих суб’єктів вторгнення, які зараз працюють під банери партнерських програм RaaS», – зазначили в пості дослідник загроз Stairwell Деніел Майєр і Шелбі Каба, директор відділу спеціальних операцій у Cyderes.
Поява цієї нової можливості в Exmatter є нагадуванням про те, що ландшафт загроз, що стрімко розвивається, стає все більш складним, оскільки суб’єкти загрози намагаються знайти більш творчі способи криміналізації своєї діяльності, зазначає один експерт з безпеки.
«Всупереч поширеній думці, сучасні атаки не завжди пов’язані лише з крадіжкою даних, а можуть стосуватися знищення, збою, використання даних у зброї, дезінформації та/або пропаганди», — розповідає Dark Reading Раджив Пімпласкар, генеральний директор постачальника безпечних комунікацій Dispersive Holdings.
Ці загрози, що постійно розвиваються, вимагають, щоб підприємства також мали відточувати свій захист і розгортати вдосконалені рішення безпеки, які зміцнюють їхні відповідні поверхні атак і приховують конфіденційні ресурси, що зробить їх цілями для атак, перш за все, додає Пімпласкар.
Попередні зв’язки з BlackMatter
Аналіз дослідників Exmatter не вперше пов’язують інструмент із такою назвою з BlackCat/ALPHV. Цією групою, як вважають, керують колишні члени різних угруповань програм-вимагачів, у тому числі з нині неіснуючих Чорна матерія — використовував Exmatter для вилучення даних у корпоративних жертв у грудні та січні минулого року, перш ніж розгорнути програмне забезпечення-вимагач у подвійній атаці здирництва, дослідники Kaspersky раніше повідомлялося.
Насправді Kaspersky використовував Exmatter, також відомий як Fendr, щоб зв’язати діяльність BlackCat/ALPHV із активністю Чорна матерія в короткому записі про погрозу, яка була опублікована на початку цього року.
Зразок Exmatter, який перевірили дослідники Stairwell і Cyderes, є виконуваним файлом .NET, призначеним для вилучення даних за допомогою протоколів FTP, SFTP і webDAV і містить функції для пошкодження файлів на диску, які були викрадені, пояснив Майєр. Це узгоджується з однойменним інструментом BlackMatter.
Як працює деструктор Exmatter
Використовуючи процедуру під назвою «Синхронізація», зловмисне програмне забезпечення перебирає диски на комп’ютері-жертві, створюючи чергу файлів із певними та конкретними розширеннями файлів для викрадання, якщо вони не знаходяться в каталозі, зазначеному в жорстко закодованому списку блокувань зловмисного програмного забезпечення.
Exmatter може викрадати файли в черзі, завантажуючи їх на контрольовану зловмисником IP-адресу, сказав Маєр.
«Відфільтровані файли записуються в папку з тим же ім’ям, що й ім’я хоста комп’ютера-жертви на сервері, який контролює актор», — пояснив він у дописі.
За словами дослідників, процес знищення даних лежить у класі, визначеному у зразку під назвою «Eraser», який призначений для виконання одночасно з Sync. Коли Sync завантажує файли на керований актором сервер, він додає файли, успішно скопійовані на віддалений сервер, до черги файлів для обробки Eraser, пояснив Майєр.
Eraser випадковим чином вибирає два файли з черги та перезаписує файл 1 фрагментом коду, взятим із початку другого файлу, — це техніка пошкодження, яка може розглядатися як тактика ухилення, зазначив він.
«Використання правдивих даних файлу з комп’ютера-жертви для пошкодження інших файлів може бути технікою, щоб уникнути евристичного виявлення програм-вимагачів і очисників, — написав Майєр, — оскільки копіювання даних файлу з одного файлу в інший набагато правдоподібніше безпечне. функціональність порівняно з послідовним перезаписом файлів випадковими даними або їх шифруванням». – написав Маєр.
В роботі
Дослідники зазначили, що є ряд підказок, які вказують на те, що техніка пошкодження даних Exmatter знаходиться в стадії розробки і, отже, все ще розробляється групою програм-вимагачів.
Один артефакт у зразку, який вказує на це, полягає в тому, що довжина фрагмента другого файлу, який використовується для перезапису першого файлу, визначається випадковим чином і може становити лише 1 байт.
Процес знищення даних також не має механізму для видалення файлів із черги пошкоджень, що означає, що деякі файли можуть бути перезаписані багато разів до завершення роботи програми, тоді як інші можуть взагалі не бути обраними, зазначили дослідники.
Крім того, функція, яка створює екземпляр класу Eraser — влучно названа «Erase» — схоже, не повністю реалізована у зразку, який проаналізували дослідники, оскільки вони не декомпілюються належним чином.
Навіщо знищувати, а не шифрувати?
Розвивається можливості пошкодження та знищення даних Замість шифрування даних має низку переваг для учасників програм-вимагачів, відзначили дослідники, особливо тому, що викрадання даних і подвійне вимагання (тобто загроза витоку вкрадених даних) стали досить поширеною поведінкою учасників загроз. Це зробило розробку стабільної, безпечної та швидкої програми-вимагача для шифрування файлів надлишковою та дорогою порівняно з пошкодженням файлів і використанням відфільтрованих копій як засобів відновлення даних, кажуть вони.
Повне скасування шифрування також може пришвидшити процес для афілійованих компаній RaaS, уникаючи сценаріїв, за яких вони втрачають прибуток через те, що жертви знаходять інші способи розшифрувати дані, відзначають дослідники.
«Ці фактори призводять до того, що афілійовані компанії залишають модель RaaS і починають самостійно, — зауважив Майєр, — замінивши програми-вимагачі, які потребують розробки, знищенням даних».
