ransomware, cyber, crime

Ransomware-hackere dropper muligvis filkryptering til fordel for at ødelægge filer

Det er hurtigere, billigere og mindre sandsynligt, at filer stoppes af beskyttelsesværktøjer end hvis de anvender kryptering.

Ransomware startede mange år som svindel, hvor brugere blev narret til at betale fiktive bøder for angiveligt at deltage i ulovlig online adfærd eller i mere alvorlige tilfælde blev afpresset med kompromitterende videoer taget gennem deres webkameraer af malware. Truslen er siden kommet langt, flyttet fra forbrugere til virksomheder, tilføjet datalækagetrusler på siden og undertiden Distributed Denial-of-Service (DDoS) afpresning.

Angrebene er blevet så udbredte, at de nu påvirker alle typer organisationer og endda hele nationale regeringer. De cyberkriminelle grupper bag dem er velorganiserede, sofistikerede og endda innovative og kommer altid med nye afpresningsteknikker, der kan tjene dem flere penge. Men nogle gange er den bedste måde at opnå noget på ikke at kompleksitet, men at forenkle, og det ser ud til at være tilfældet i nye angreb set af forskere fra sikkerhedsfirmaer Stairwell og Cyderes, hvor kendte ransomware-aktører valgte at ødelægge filer i stedet for at kryptere dem.

Exmatter data exfiltreringsværktøj får en opgradering

Cyderes undersøgte et nyligt angreb, der involverede en trusselsaktør, der menes at være tilknyttet BlackCat / ALPHV Ransomware-as-a-Service (RaaS) -operationen. Analytikerne fandt et dataeksfiltreringsværktøj kaldet Exmatter, der har været kendt for at blive brugt af BlackCat og BlackMatter-tilknyttede virksomheder.

RaaS-tilknyttede virksomheder er enkeltpersoner eller grupper af hackere, der bryder ind i organisationer og derefter implementerer et ransomware-program for en stor del af overskuddet fra enhver betalt løsesum. Hackerne overtager derfra og håndterer ransomware-forhandlingen med offeret, betalingsinstruktioner og datadekryptering. Tilknyttede virksomheder er i det væsentlige eksterne entreprenører for RaaS-operatører.

I de senere år er det blevet almindeligt, at ransomware-tilknyttede virksomheder fordobler og stjæler data fra kompromitterede virksomheder ud over at kryptere dem, De truer derefter med at frigive dem offentligt eller sælge dem. Dette startede som en anden metode til at tvinge løsesumbetalinger, men afpresning af datalækage kan også ske alene uden ransomware-komponenten.

Exmatter er et værktøj skrevet i .NET, der giver angribere mulighed for at scanne offerets computers drev for filer med bestemte udvidelser og derefter uploade dem til en angriberstyret server i en unik mappe oprettet til hvert offer. Værktøjet understøtter flere exfiltreringsmetoder, herunder FTP, SFTP og webDAV.

Cyderes sendte exmatter-prøven, de fandt under deres undersøgelse, til Stairwell til yderligere analyse, som fastslog, at den havde ny funktionalitet sammenlignet med andre versioner.

“Der er en klasse defineret i prøven ved navn Eraser, der er designet til at udføre samtidig med den rutinemæssige sync,” siger Stairwell-analytikerne i en rapport. “Når Sync uploader filer til den skuespillerstyrede server, tilføjer den filer, der er blevet kopieret til fjernserveren, til en kø af filer, der skal behandles af Eraser.”

Den måde, eraser-funktionen fungerer på, er, at den indlæser to tilfældige filer fra listen i hukommelsen og derefter kopierer en tilfældig del fra den anden fil til begyndelsen af den første fil, der overskriver dens oprindelige indhold. Dette sletter ikke filen teknisk, men ødelægger den snarere.

Analytikerne mener, at denne funktion stadig udvikles, fordi kommandoen, der kalder Eraser-funktionen, endnu ikke er fuldt implementeret, og funktionens kode har stadig nogle ineffektiviteter. Da den valgte dataklump er tilfældig, kan den nogle gange være meget lille, hvilket gør nogle filer mere gendannelige end andre. Filer tages heller ikke ud af køen efter at være overskrevet, hvilket betyder, at denne proces kan gentages på den samme fil adskillige gange.

Datakorruption modsat kryptering

Hvorfor ødelægge filer ved at overskrive dem med tilfældige data i stedet for at implementere ransomware for at kryptere dem? Ved første øjekast virker disse som lignende filmanipulationsoperationer. Kryptering af en fil indebærer overskrivning af den, en blok ad gangen, med tilfældigt udseende data – chifferteksten. Der er dog måder at registrere disse krypteringsoperationer på, når de udføres i stor rækkefølge, og mange slutpunktssikkerhedsprogrammer kan nu registrere, når en proces udviser denne adfærd og kan stoppe den. I mellemtiden er den slags filoverskrivning, som Exmatter gør, meget mere subtil.

“Handlingen med at bruge legitime fildata fra offermaskinen til at ødelægge andre filer kan være en teknik til at undgå heuristisk baseret detektion for ransomware og viskere, da kopiering af fildata fra en fil til en anden er meget mere sandsynligt godartet funktionalitet sammenlignet med sekventiel overskrivning af filer med tilfældige data eller kryptering af dem,” forklarer Stairwell-analytikerne.

En anden grund er, at kryptering af filer er en mere intensiv opgave, der tager længere tid. Det er også meget sværere og dyrt at implementere filkrypteringsprogrammer – som ransomware i det væsentlige er – uden fejl eller fejl, som forskere kunne udnytte til at vende krypteringen. Der har været mange tilfælde gennem årene, hvor forskere fandt svagheder i implementering af ransomware-kryptering og var i stand til at frigive dekryptere. Dette er sket med BlackMatter, RaaS-operationen, som Exmatter-værktøjet oprindeligt har været forbundet med.

“Med dataeksfiltrering nu normen blandt trusselsaktører er udvikling af stabil, sikker og hurtig ransomware til at kryptere filer en overflødig og dyr indsats sammenlignet med at ødelægge filer og bruge de exfiltrerede kopier som middel til datagendannelse,” siger analytikere fra Cyderes.

Det er stadig at se, om dette er starten på en tendens, hvor ransomware-tilknyttede virksomheder skifter til datadestruktion i stedet for kryptering, hvilket sikrer, at den eneste kopi er i deres besiddelse, eller om det bare er en isoleret hændelse, hvor BlackMatter / BlackCat-tilknyttede virksomheder ønsker at undgå fortidens fejl. Datatyveri og afpresningsangreb, der involverer ødelæggelse, er dog ikke nye og har været udbredt i skydatabaseområdet. Hackerne har ramt ubeskyttede S3-buckets, MongoDB-databaser, Redis-forekomster, ElasticSearch-indekser i årevis, slettet deres indhold og efterladt løsesumsnoter og derfor vil det ikke være en overraskelse også, at se dette flytte til lokale systemer.

Kilde: CSO

Foto: Pexels

Cybersikkerhed & Nyheder