被称为 Exmatter 的数据泄露恶意软件以前与 BlackMatter 勒索软件组有关联,现在正在升级数据损坏功能,这可能表明勒索软件附属机构将来可能会转向使用一种新策略。
Cyderes 特别行动团队的恶意软件分析师在最近一次 BlackCat 勒索软件攻击后的事件响应中发现了新样本,后来与 Stairwell 威胁研究团队共享以进行进一步分析(赛门铁克 在 Noberus 勒索软件攻击中看到了类似的样本)。
尽管至少自 2021 年 10
“当文件上传到参与者控制的服务器时,已成功复制到远程服务器的文件排队等待由名为 Eraser 的类处理,” Cyderes 说。
“从第二个文件开头开始的随机大小的段被读入缓冲区,然后写入第一个文件的开头,覆盖它并破坏文件。”
这种使用来自一个泄露文件的数据来破坏另一个文件的策略可能是逃避勒索软件或基于擦除器启发式检测的尝试的一部分,这些检测可能在使用随机生成的数据时触发。
正如 Stairwell 威胁研究人员发现的那样,Exmatter 部分实现的数据销毁功能可能仍在开发中,因为:
- 没有从损坏队列中删除文件的机制,这意味着在程序终止之前,某些文件可能会被多次覆盖,而其他文件可能从未被选中。
- 实例化Eraser类的函数Erase似乎没有完全实现,也没有正确反编译。
第二个文件的块长度,用于覆盖第一个文件,是随机决定的,可以短至一个字节长。
切换到数据损坏以保留所有资金?
这种数据损坏功能是一个有趣的发展,虽然它也可能被用来逃避安全软件,但 Stairwell 和 Cyderes 的研究人员认为这可能是勒索软件附属机构使用的策略转变的一部分。
许多勒索软件操作以勒索软件即服务的形式运行,运营商/开发人员负责开发勒索软件、支付网站和处理谈判,而附属公司则加入破坏公司网络、窃取数据、删除备份和加密设备.
作为这种安排的一部分,勒索软件运营商会收到任何赎金的 15-30%,而关联公司会收到其余的。
但是,过去已知勒索软件操作会引入漏洞,这些漏洞允许安全研究人员创建解密器 ,帮助受害者免费恢复文件。
发生这种情况时,关联公司将失去作为赎金支付的一部分而获得的任何潜在收入。
因此,研究人员认为,这种新的数据损坏功能可能是从传统勒索软件攻击(数据被盗然后加密)到数据被盗然后删除或损坏的攻击的新转变。
在这种方法下,会员可以保留攻击产生的所有收入,因为他们不需要与加密器开发人员分享一定比例。
Cyders 补充说:“由于部署的勒索软件中存在可利用的缺陷,附属公司也失去了从成功入侵中获得的利润,就像 BlackMatter 一样,该勒索软件与以前出现的这种基于 .NET 的渗漏工具相关联。”
在将敏感数据泄露到他们的服务器后将其销毁将防止这种情况发生,并且很可能还会成为受害者支付赎金要求的额外激励。
“消除加密数据的步骤使过程更快,并消除了无法获得全额支付的风险,或者受害者会找到其他方法来解密数据,”Cyders 说。
这可能就是为什么我们看到渗透工具正在升级过程中具有开发中的数据损坏功能,这可能会允许 RaaS 附属机构在其攻击中删除勒索软件部署部分,以便为自己保留所有资金。
“此外,对于收到的每笔勒索付款,运营商将保留 100% 的赎金,而不是向 RaaS 开发人员支付一定比例的费用,”Stairwell威胁研究员 Daniel Mayer 总结。
“这些因素最终形成了一个合理的案例,让附属机构离开 RaaS 模型自行打击它,用数据破坏取代开发繁重的勒索软件。”
