BlackCat/ALPHV 所使用的恶意软件通过删除和销毁组织的数据而不仅仅是对其进行加密,为勒索软件游戏带来了新的变化。研究人员表示,这一进展让人们得以一睹出于经济动机的网络攻击可能的发展方向。
安全公司 Cyderes 和 Stairwell 的研究人员观察到,与 BlackCat/ALPHV 勒索软件相关的 .NET 渗透工具被部署,称为 Exmatter,该工具从选定的目录中搜索特定文件类型,将其上传到攻击者控制的服务器,然后损坏并销毁文件。 检索数据的唯一方法是从团伙那里购买窃取的文件。
“据传,数据破坏是勒索软件的去向,但我们还没有真正看到过这种情况,”一位人士表示。 博客文章 最近发布在 Cyderes 网站上。 研究人员表示,Exmatter 可能意味着这种转变正在发生,表明威胁行为者正在积极地部署和开发这种能力。
Cyderes 研究人员对 Exmatter 进行了初步评估,然后 Stairwell 的威胁研究团队在分析该恶意软件后发现了“部分实现的数据破坏功能”。 到同伴博客文章.
“附属机构级别的攻击者使用数据销毁来代替勒索软件即服务 (RaaS) 部署,将标志着数据勒索格局的巨大转变,并标志着目前以经济为动机的入侵者的分裂。 “RaaS 附属项目的旗帜”,Stairwell 威胁研究员 Daniel Mayer 和 Cyderes 特种作战总监 Shelby Kaba 在帖子中指出。
一位安全专家指出,Exmatter 中这一新功能的出现提醒人们,随着威胁行为者寻求更具创造性的方法将其活动定为犯罪,威胁形势正在迅速发展且日益复杂。
安全通信提供商 Dispersive Holdings 首席执行官拉吉夫·平普拉斯卡 (Rajiv Pimplaskar) 告诉 Dark Reading:“与普遍看法相反,现代攻击并不总是窃取数据,还可能涉及破坏、破坏、数据武器化、虚假信息和/或宣传。”
Pimplaskar 补充道,这些不断发展的威胁要求企业还必须加强防御并部署先进的安全解决方案,以强化各自的攻击面并混淆敏感资源,这将使它们首先成为难以攻击的目标。
之前与 BlackMatter 的联系
研究人员对 Exmatter 的分析并不是第一次将该名称的工具与 BlackCat/ALPHV 联系起来。该组织据信由各个勒索软件团伙的前成员管理,其中包括那些现已不复存在的团伙 黑物质 — 卡巴斯基研究人员在去年 XNUMX 月和 XNUMX 月使用 Exmatter 从企业受害者那里窃取数据,然后在双重勒索攻击中部署勒索软件 先前报道.
事实上,卡巴斯基使用 Exmatter(也称为 Fendr)将 BlackCat/ALPHV 活动与 黑物质 在威胁简报中,该书于今年早些时候出版。
Mayer 解释说,Stairwell 和 Cyderes 研究人员检查的 Exmatter 样本是一个 .NET 可执行文件,设计用于使用 FTP、SFTP 和 webDAV 协议进行数据泄露,并且包含损坏磁盘上已泄露文件的功能。这与 BlackMatter 的同名工具一致。
Exmatter 析构函数如何工作
使用名为“同步”的例程,恶意软件会遍历受害计算机上的驱动器,生成具有特定文件扩展名的文件队列以进行渗透,除非它们位于恶意软件的硬编码阻止列表中指定的目录中。
梅耶尔说,Exmatter 可以通过将排队的文件上传到攻击者控制的 IP 地址来窃取这些文件。
“泄露的文件被写入与攻击者控制的服务器上受害计算机主机名同名的文件夹中,”他在帖子中解释道。
研究人员表示,数据销毁过程位于名为“Eraser”的示例中定义的一个类中,该类旨在与 Sync 同时执行。 Mayer 解释说,当 Sync 将文件上传到参与者控制的服务器时,它会将已成功复制到远程服务器的文件添加到要由 Eraser 处理的文件队列中。
他指出,Eraser 从队列中随机选择两个文件,并用从第二个文件开头获取的一段代码覆盖文件 1,这是一种可能旨在作为规避策略的损坏技术。
梅耶尔写道:“使用受害计算机中的合法文件数据来破坏其他文件的行为可能是一种避免基于启发式检测勒索软件和擦除器的技术,因为将文件数据从一个文件复制到另一个文件似乎是良性的与用随机数据顺序覆盖文件或加密文件相比,功能更强大。”梅耶尔写道。
工作正在进行中
研究人员指出,有许多线索表明 Exmatter 的数据损坏技术仍在开发中,因此仍由勒索软件组织开发。
示例中的一个工件指出了这一点,即用于覆盖第一个文件的第二个文件的块长度是随机决定的,并且可能短至 1 个字节长。
研究人员指出,数据销毁过程也没有从损坏队列中删除文件的机制,这意味着某些文件可能会在程序终止之前被多次覆盖,而其他文件可能根本不会被选择。
此外,创建 Eraser 类实例的函数(恰当地命名为“Erase”)似乎并未在研究人员分析的样本中完全实现,因为它无法正确反编译,他们说。
为什么要销毁而不是加密?
发展 数据损坏和破坏能力 研究人员指出,代替加密数据对勒索软件攻击者有很多好处,特别是当数据泄露和双重勒索(即威胁泄露被盗数据)已成为威胁攻击者相当普遍的行为时。 他们表示,与损坏文件和使用泄露的副本作为数据恢复手段相比,开发稳定、安全、快速的勒索软件来加密文件变得多余且成本高昂。
研究人员指出,完全消除加密还可以使 RaaS 附属机构的流程更快,避免由于受害者找到其他方法来解密数据而导致利润损失的情况。
梅耶尔观察到:“这些因素最终导致附属机构离开 RaaS 模式,自行出击,用数据破坏取代开发繁重的勒索软件。”
