Ransomwarové nástroje ukazují na posun v taktice vydírání
Zpět na blogMalware pro exfiltraci dat známý jako Exmatter a dříve spojovaný se skupinou BlackMatter ransomware se dočkal „upgradu“ a nově má schopnost poškozovat data, což může naznačovat nový směr, kudy se budou útoky ransomwaru ubírat.
Nového vzorku si všimli analytici z týmu Cyderes Special Operations během nedávné reakce na incident po útoku ransomwaru BlackCat a později jej sdíleli s týmem Stairwell Threat Research k další analýze (společnost Symantec zaznamenala podobný vzorek nasazený při útoku ransomwaru Noberus).
Zatímco Exmatter byl používán odnožemi BlackMatter přinejmenším od října 2021, toto je poprvé, kdy byl tento škodlivý nástroj použit právě s destruktivním modulem.
„Při nahrávání souborů na server ovládaný aktérem jsou soubory, které byly úspěšně zkopírovány na vzdálený server, zařazeny do fronty ke zpracování třídou s názvem Eraser,“ uvedli odborníci ze Cyderes.
„Náhodně zvolený segment začínající na začátku druhého souboru je načten do vyrovnávací paměti a poté zapsán na začátek prvního souboru, čímž dojde k jeho přepsání a poškození souboru,“ vysvětlili odborníci.
Tato taktika použití dat z jednoho exfiltrovaného souboru k poškození jiného souboru může být součástí pokusu vyhnout se detekci založené na heuristice wiperů, která by se mohla spustit při použití náhodně generovaných dat.
Jak zjistili výzkumníci hrozeb ze společnosti Stairwell, částečně implementované schopnosti Exmatteru v oblasti ničení dat jsou vzhledem k tomu pravděpodobně stále ve vývoji.
Neexistuje žádný mechanismus pro odstranění souborů z fronty poškození, což znamená, že některé soubory mohou být před ukončením programu mnohokrát přepsány, zatímco jiné nemusely být nikdy vybrány.
Funkce poškození dat je zajímavá, a přestože může být použita i k obcházení bezpečnostního softwaru, výzkumníci ze společností Stairwell a Cyderes se domnívají, že může být součástí změny směřování ransomwarových útoků.
Mnoho operací ransomwaru probíhá jako ransomware-as-a-service, kdy provozovatelé/vývojáři mají na starosti vývoj ransomwaru, platby a vedení jednání, zatímco přidružené skupiny zajišťují prolomení podnikových sítí, krádeže dat, mazání záloh a šifrování zařízení. V rámci této dohody dostávají provozovatelé ransomwaru 15-30 % z případné platby výkupného a zbytek dostávají přidružené skupiny.
V minulosti však bylo známo, že operace ransomwaru obsahují chyby, které umožnily výzkumníkům v oblasti bezpečnosti vytvořit dešifrátory, které obětem pomohly obnovit soubory zdarma. Když se tak stane, přicházejí podskupiny o příjmy, které by získaly v případě platby výkupného.
Vzhledem k tomu se výzkumníci domnívají, že tato nová funkce poškození dat by mohla být novým posunem od tradičních útoků ransomwaru, kdy jsou data ukradena a následně zašifrována, k útokům, kdy jsou data ukradena a následně odstraněna nebo poškozena.
Při této metodě si podskupina ponechá veškeré příjmy z útoku, protože se nemusí dělit o procenta s vývojářem šifrovacího programu.
„Podskupiny také přicházejí o zisky z úspěšných průniků kvůli zneužitelným chybám v nasazeném ransomwaru, jako tomu bylo v případě BlackMatter, ransomwaru spojeného s předchozími výskyty tohoto exfiltračního nástroje založeného na .NET,“ dodali odborníci z Cyderes.
Zničení citlivých dat po exfiltraci pravděpodobně bude také působit jako další „pobídka“ pro oběti, aby zaplatily požadované výkupné. „Eliminací kroku šifrování dat se celý proces urychlí a odpadne riziko, že výplata nebude vyplacena v plné výši nebo že oběť najde jiné způsoby, jak data dešifrovat,“ zaznělo z Cyderesu.
Zdroj: BleepingComputer.com
4. 10. 2022