Обновление BlackCat перевернуло сектор программ-вымогателей

Группировка BlackCat обновила свое ПО для кражи данных Exmatter и добавила новую функцию повреждения данных, кардинально изменив тактику атак аффилированных лиц.

Новый образец был обнаружен аналитиками из ИБ-компании Cyderes , а затем передан группе исследования угроз Stairwell для дальнейшего анализа. Exmatter используется аффилированными лицами BlackMatter как минимум с октября 2021 года, но это первый раз, когда Exmatter был замечен с модулем уничтожения данных.

Эксперты из Cyderes заявили, что по мере того, как файлы загружаются на сервер злоумышленника, они ставятся в очередь для обработки классом Eraser, пишет Securitylab. Сегмент произвольного размера, начинающийся в начале второго файла, считывается в буфер, а затем записывается в начало первого файла, перезаписывая его и повреждая файл.

Эта тактика использования данных из одного извлеченного файла для повреждения другого файла может быть попыткой уклониться от обнаружения или эвристического анализа.

Как обнаружили исследователи угроз Stairwell, возможности уничтожения данных Exmatter все еще находятся в разработке, учитывая следующее:

• У Exmatter не существует механизма для удаления файлов из очереди, то есть некоторые файлы могут быть перезаписаны много раз, прежде чем программа завершит работу, а другие, возможно, никогда не будут выбраны для обработки;
• Функция, которая создает экземпляр класса «Erase», реализована не полностью и декомпилируется неправильно. Длина фрагмента второго файла, который используется для перезаписи первого файла, определяется случайным образом и может составлять всего один байт.

Исследователи считают, что новая функция повреждения данных может заменить традиционные атаки программ-вымогателей, когда данные крадут, а затем шифруют, на атаки, при которых данные крадут, а затем удаляют или повреждают. Этот метод, в отличие от RaaS-модели, позволяет хакеру забрать себе весь доход, полученный от атаки, поскольку ему не нужно делиться процентом с разработчиком шифровальщика.

При обычном шифровании у злоумышленников есть риск того, что жертва найдет способ расшифровки данных и не заплатит выкуп. Уничтожение конфиденциальных данных после их эксфильтрации на сервер хакера предотвратит это и послужит дополнительным стимулом для жертв платить выкуп, а также отсутствие этапа шифрования ускоряет процесс атаки.

Эти факторы приводят к тому, что аффилированные лица отказываются от RaaS-модели в пользу программ-вымогателей, которые просто уничтожают данные.