Vor kurzem analysierte eine Experte eine Ransomware die der Gruppe BlackCat bzw. ALPHV zugeschrieben wird. Neben interessanten SFTP-Funktionen wurde dort auch eine implementierte Datenvernichtungsfunktion entdeckt. Könnte das ein Hinweis auf die Zukunft der Datenerpressung sein?
Mit Ransomware-as-a-Service (RaaS) und Datenlecks (DLS) erlebt die Datenerpressungslandschaft ständig neue Innovationen von Bedrohungsakteuren sowie Akronyme aus dem Sicherheitsfirmen, die sie verfolgen. In diesem gemeinsamen Bericht untersuchen Cyderes und Stairwell Hinweise auf eine neue Taktik, die im Exfiltrationstool eines BlackCat/ALPHV-Teilnehmers gefunden wurde, das bei einer Untersuchung von Cyderes entdeckt wurde.
Ransomware-Untersuchung bis ins Detail
Nach einem einen Vorfall bei Cyderes fand und analysierte das Team das Tool im Zusammenhang mit einer BlackCat/ALPHV- Ransomware-Untersuchung. Cyderes führte eine erste Bewertung durch und erkannte, dass es sich bei dem Tool um ein Exfiltrationstool mit fest codierten SFTP-Anmeldeinformationen handelt. Anschließend nutzte Cyderes das Inception-Tool von Stairwell für zusätzliche Analysen.
Das Sample wurde auch an das Threat Research Team von Stairwell geliefert, wo bei der Analyse eine teilweise implementierte Datenvernichtungsfunktion entdeckt wurde. Die Verwendung von Datenvernichtung durch Akteure auf Affiliate-Ebene anstelle des Einsatzes von RaaS würde eine große Veränderung in der Landschaft der Datenerpressung markieren und die Balkanisierung von finanziell motivierten Einbruchsakteuren signalisieren, die derzeit unter den Bannern von RaaS-Affiliate-Programmen arbeiten. Eventuell könnte das eine neue Stufe der Erpressung mit Ransomware sein.
Tool wird auch von BlackMatter genutzt
Das untersuchte Sample ist eine ausführbare .NET-Datei, die für die Datenexfiltration mit FTP-, SFTP- und WebDAV-Protokollen entwickelt wurde und Funktionen zum Beschädigen der Dateien auf der Festplatte enthält, die exfiltriert wurden. Das Exfiltrationsverhalten dieses Beispiels stimmt eng mit früheren Berichten von Exmatter überein, einem .NET-Exfiltrationstool das von mindestens einem Tochterunternehmen der BlackMatter -Ransomware-Gruppe verwendet wird. Das Sample wurde von Cyderes im Zusammenhang mit dem Einsatz der Ransomware BlackCat/ALPHV beobachtet, die angeblich von verbundenen Unternehmen zahlreicher Ransomware-Gruppen, einschließlich BlackMatter, betrieben wird. Eine weitergehende technische Untersuchung des Samples Stairwell auf seiner Webseite bereit.
Mehr bei Staiwell.com