勒索软件数据盗窃工具可能显示勒索策略的转变

admin 2022年9月26日09:03:18评论50 views字数 1584阅读5分16秒阅读模式
勒索软件数据盗窃工具可能显示勒索策略的转变

被称为Exmatter的数据渗透恶意软件先前与BlackMatter勒索软件集团有关联,现在正在升级数据破坏功能,这可能表明勒索软件分支机构可能在未来转向一种新的战术。
在BlackCat勒索软件攻击后,Cyderes特别行动小组的恶意软件分析师在最近的一次事件响应中发现了新样本,后来与Stairwell威胁研究小组共享以进行进一步分析(赛门铁克在Noberus勒索软件攻击中发现了类似的样本)。
虽然Exmatter至少自2021年10月以来一直被BlackMatter附属公司使用,但这是首次看到恶意工具带有破坏性模块。
勒索软件数据盗窃工具可能显示勒索策略的转变
当文件上传到参与者控制的服务器时,已经成功复制到远程服务器的文件会排队等待一个名为Eraser的类进行处理。”
从第二个文件的开头开始的随机大小的数据段被读入缓冲区,然后写入第一个文件的开头,覆盖它并损坏文件。这种使用一个泄漏文件中的数据来破坏另一个文件的策略可能是企图逃避勒索软件或基于wiper启发式检测的一部分,这种检测可能在使用随机生成的数据时触发。
正如 Stairwell威胁研究人员发现的,Exmatter部分实施的数据销毁功能可能仍在开发中,因为: 没有从损坏队列中删除文件的机制,这意味着一些文件可能在程序终止前被覆盖多次,而其他文件可能从未被选择。
实例化Eraser类的名为Erase的函数似乎没有完全实现,也没有正确反编译。用于覆盖第一个文件的第二个文件的块长度是随机决定的,可以短至一个字节。
勒索软件数据盗窃工具可能显示勒索策略的转变
Exmatter数据损坏
切换到数据损坏来保留所有的钱?
这种数据损坏功能是一个有趣的发展,虽然它也可能被用来逃避安全软件,但Stairwell 和Cyderes的研究人员认为,这可能是勒索软件分支机构使用的策略转变的一部分。
许多勒索软件操作以勒索软件即服务的形式运行,其中运营商/开发者负责开发勒索软件、支付网站和处理谈判,而附属公司则参与破坏公司网络、窃取数据、删除备份和加密设备。
作为这一安排的一部分,勒索软件运营商获得任何赎金支付的15-30%,分支机构获得其余部分。
然而,过去已知勒索软件操作会引入漏洞,使安全研究人员能够创建解密器,帮助受害者免费恢复文件。
当这种情况发生时,附属机构失去了他们作为赎金的一部分可能获得的任何收入。
因此,研究人员认为,这种新的数据损坏功能可能是从传统的勒索软件攻击(窃取数据然后加密)到数据被窃取然后删除或损坏的攻击的新转变。
在这种方法下,代销商可以保留从攻击中获得的所有收入,因为他们不需要与加密器开发商分享百分比。
勒索软件数据盗窃工具可能显示勒索策略的转变

由于部署的勒索软件中存在可利用的缺陷,附属机构也损失了成功入侵的利润,就像BlackMatter的情况一样,该勒索软件与以前出现的这种情况有关;基于网络的渗透工具。
在将敏感数据渗透到他们的服务器后将其销毁将防止这种情况发生,并且很可能还会进一步刺激受害者支付赎金。
消除加密数据的步骤使过程更快,并消除了无法获得全额赔偿的风险,或者受害者将找到其他方法来解密数据。
这可能就是为什么我们看到渗透工具正在升级开发中的数据破坏功能,这可能会允许RaaS附属公司在其攻击中删除勒索软件部署部分,以将所有资金据为己有。
此外,对于收到的每笔勒索付款,运营商将保留100%的赎金,而不是向RaaS开发者支付一定比例的费用。
这些因素最终导致了一个合理的案例,即附属机构离开RaaS模式,自行退出,用数据破坏取代开发密集型勒索软件。
威胁报告: Exmatter:数据勒索未来的线索
勒索软件数据盗窃工具可能显示勒索策略的转变
勒索软件数据盗窃工具可能显示勒索策略的转变
勒索软件数据盗窃工具可能显示勒索策略的转变
表 1:标记为渗出的文件扩展名
勒索软件数据盗窃工具可能显示勒索策略的转变
表 2:从文件泄露中排除的目录位置

博客全文阅读地址:
https://stairwell.com/news/threat-research-report-exmatter-future-of-data-extortion/

原文始发于微信公众号(网络研究院):勒索软件数据盗窃工具可能显示勒索策略的转变

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年9月26日09:03:18
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   勒索软件数据盗窃工具可能显示勒索策略的转变https://cn-sec.com/archives/1315983.html

发表评论

匿名网友 填写信息