Phần mềm độc hại do BlackCat/ALPHV sử dụng đang tạo ra một bước ngoặt mới trong trò chơi ransomware bằng cách xóa và phá hủy dữ liệu của một tổ chức thay vì chỉ mã hóa nó. Theo các nhà nghiên cứu, sự phát triển này cung cấp một cái nhìn thoáng qua về hướng mà các cuộc tấn công mạng có động cơ tài chính có thể đang hướng tới.
Các nhà nghiên cứu từ các công ty bảo mật Cyderes và Stairwell đã quan sát thấy một công cụ lọc .NET đang được triển khai liên quan đến phần mềm tống tiền BlackCat/ALPHV có tên là Exmatter tìm kiếm các loại tệp cụ thể từ các thư mục đã chọn, tải chúng lên máy chủ do kẻ tấn công kiểm soát, sau đó làm hỏng và phá hủy các tệp . Cách duy nhất để lấy lại dữ liệu là mua lại các tệp đã lọc từ băng đảng.
Theo một báo cáo, “Việc phá hủy dữ liệu được đồn đại là nơi ransomware sẽ tấn công, nhưng chúng tôi thực sự chưa thấy nó xuất hiện trên thực tế”. blog đăng bài được xuất bản gần đây trên trang web Cyderes. Các nhà nghiên cứu cho biết Exmatter có thể biểu thị rằng quá trình chuyển đổi đang diễn ra, chứng tỏ rằng các tác nhân đe dọa đang tích cực trong quá trình dàn dựng và phát triển khả năng đó.
Các nhà nghiên cứu của Cyderes đã thực hiện đánh giá ban đầu về Exmatter, sau đó Nhóm nghiên cứu mối đe dọa của Stairwell đã phát hiện ra “chức năng hủy dữ liệu được triển khai một phần” sau khi phân tích phần mềm độc hại, theo đến một bài đăng trên blog đồng hành.
“Việc các tác nhân cấp liên kết sử dụng tính năng hủy dữ liệu thay cho việc triển khai ransomware dưới dạng dịch vụ (RaaS) sẽ đánh dấu một sự thay đổi lớn trong bối cảnh tống tiền dữ liệu và sẽ báo hiệu sự chia cắt của các tác nhân xâm nhập có động cơ tài chính hiện đang hoạt động theo các biểu ngữ của các chương trình liên kết RaaS,” nhà nghiên cứu mối đe dọa Stairwell Daniel Mayer và Shelby Kaba, giám đốc hoạt động đặc biệt tại Cyderes, lưu ý trong bài đăng.
Một chuyên gia bảo mật lưu ý rằng sự xuất hiện của khả năng mới này trong Exmatter là một lời nhắc nhở về bối cảnh mối đe dọa đang phát triển nhanh chóng và ngày càng phức tạp khi các tác nhân đe dọa xoay trục để tìm ra những cách sáng tạo hơn nhằm tội phạm hóa hoạt động của chúng.
Rajiv Pimplaskar, Giám đốc điều hành của nhà cung cấp dịch vụ truyền thông an toàn Dispersive Holdings, nói với Dark Reading: “Trái ngược với suy nghĩ phổ biến, các cuộc tấn công hiện đại không phải lúc nào cũng chỉ nhằm đánh cắp dữ liệu mà còn có thể phá hủy, làm gián đoạn, vũ khí hóa dữ liệu, thông tin sai lệch và/hoặc tuyên truyền”.
Pimplaskar cho biết thêm, những mối đe dọa không ngừng phát triển này đòi hỏi các doanh nghiệp cũng phải tăng cường khả năng phòng thủ và triển khai các giải pháp bảo mật tiên tiến nhằm củng cố bề mặt tấn công tương ứng của họ và làm xáo trộn các tài nguyên nhạy cảm, điều này sẽ khiến họ trở thành mục tiêu khó tấn công ngay từ đầu.
Mối quan hệ trước đây với BlackMatter
Phân tích của các nhà nghiên cứu về Exmatter không phải là lần đầu tiên một công cụ có tên này được liên kết với BlackCat/ALPHV. Nhóm đó - được cho là do các thành viên cũ của nhiều nhóm ransomware khác nhau điều hành, bao gồm cả những nhóm hiện không còn tồn tại vật chất đen — đã sử dụng Exmatter để lấy cắp dữ liệu từ các nạn nhân của công ty vào tháng XNUMX và tháng XNUMX năm ngoái, trước khi triển khai ransomware trong một cuộc tấn công tống tiền kép, các nhà nghiên cứu từ Kaspersky báo cáo trước đó.
Trên thực tế, Kaspersky đã sử dụng Exmatter, còn được gọi là Fendr, để liên kết hoạt động của BlackCat/ALPHV với hoạt động của vật chất đen trong bản tóm tắt mối đe dọa, được xuất bản vào đầu năm nay.
Mẫu Exmatter mà các nhà nghiên cứu của Stairwell và Cyderes đã kiểm tra là một tệp thực thi .NET được thiết kế để lọc dữ liệu bằng các giao thức FTP, SFTP và webDAV, đồng thời chứa chức năng làm hỏng các tệp trên đĩa đã bị lọc, Mayer giải thích. Điều đó phù hợp với công cụ cùng tên của BlackMatter.
Cách thức hoạt động của Exmatter Destructor
Bằng cách sử dụng quy trình có tên “Đồng bộ hóa”, phần mềm độc hại sẽ lặp qua các ổ đĩa trên máy nạn nhân, tạo ra một hàng tệp có phần mở rộng tệp nhất định và cụ thể để lọc, trừ khi chúng nằm trong thư mục được chỉ định trong danh sách chặn được mã hóa cứng của phần mềm độc hại.
Mayer cho biết Exmatter có thể lọc các tệp đã xếp hàng đợi bằng cách tải chúng lên địa chỉ IP do kẻ tấn công kiểm soát.
Ông giải thích trong bài đăng: “Các tệp đã trích xuất được ghi vào một thư mục có cùng tên với tên máy chủ của máy nạn nhân trên máy chủ do tác nhân kiểm soát”.
Các nhà nghiên cứu cho biết quá trình hủy dữ liệu nằm trong một lớp được xác định trong mẫu có tên “Eraser” được thiết kế để thực thi đồng thời với Sync. Mayer giải thích, khi Sync tải tệp lên máy chủ do tác nhân kiểm soát, nó sẽ thêm các tệp đã được sao chép thành công vào máy chủ từ xa vào hàng đợi các tệp sẽ được Eraser xử lý.
Ông lưu ý rằng Eraser chọn ngẫu nhiên hai tệp từ hàng đợi và ghi đè Tệp 1 bằng một đoạn mã được lấy từ đầu tệp thứ hai, một kỹ thuật làm hỏng có thể nhằm mục đích trốn tránh.
Mayer viết: “Hành động sử dụng dữ liệu tệp hợp pháp từ máy nạn nhân để làm hỏng các tệp khác có thể là một kỹ thuật nhằm tránh bị phát hiện dựa trên kinh nghiệm đối với phần mềm tống tiền và trình xóa sạch”. so với việc ghi đè tuần tự các tệp bằng dữ liệu ngẫu nhiên hoặc mã hóa chúng.” Mayer đã viết.
Làm việc trong tiến độ
Các nhà nghiên cứu lưu ý rằng có một số manh mối chỉ ra rằng kỹ thuật làm hỏng dữ liệu của Exmatter đang được tiến hành và do đó vẫn đang được nhóm ransomware phát triển.
Một yếu tố tạo tác trong mẫu chỉ ra điều này là thực tế là độ dài khối của tệp thứ hai, được sử dụng để ghi đè lên tệp đầu tiên, được quyết định ngẫu nhiên và có thể dài bằng 1 byte.
Các nhà nghiên cứu lưu ý rằng quá trình hủy dữ liệu cũng không có cơ chế xóa tệp khỏi hàng đợi tham nhũng, nghĩa là một số tệp có thể bị ghi đè nhiều lần trước khi chương trình kết thúc, trong khi những tệp khác có thể chưa bao giờ được chọn.
Hơn nữa, chức năng tạo ra phiên bản của lớp Eraser - được đặt tên phù hợp là "Erase" - dường như không được triển khai đầy đủ trong mẫu mà các nhà nghiên cứu đã phân tích, vì nó không dịch ngược chính xác, họ cho biết.
Tại sao Phá hủy Thay vì Mã hóa?
Phát triển khả năng tham nhũng và phá hủy dữ liệu Các nhà nghiên cứu lưu ý rằng thay vì mã hóa dữ liệu có một số lợi ích cho các tác nhân ransomware, đặc biệt là khi việc đánh cắp dữ liệu và tống tiền kép (nghĩa là đe dọa rò rỉ dữ liệu bị đánh cắp) đã trở thành một hành vi khá phổ biến của các tác nhân đe dọa. Họ cho biết điều này khiến việc phát triển phần mềm tống tiền ổn định, an toàn và nhanh chóng để mã hóa tệp trở nên dư thừa và tốn kém so với việc làm hỏng tệp và sử dụng các bản sao bị lọc làm phương tiện khôi phục dữ liệu.
Các nhà nghiên cứu lưu ý rằng việc loại bỏ mã hóa hoàn toàn cũng có thể giúp quá trình xử lý nhanh hơn đối với các chi nhánh của RaaS, tránh các tình huống khiến họ mất lợi nhuận vì nạn nhân tìm cách khác để giải mã dữ liệu.
Mayer nhận xét: “Những yếu tố này lên đến đỉnh điểm là một trường hợp chính đáng để các chi nhánh rời khỏi mô hình RaaS tự mình tấn công,” Mayer nhận xét, “thay thế phần mềm ransomware nặng về phát triển bằng việc phá hủy dữ liệu”.
