Recientemente, un experto analizó ransomware atribuido al grupo BlackCat o ALPHV. Además de interesantes funciones SFTP, también se descubrió allí una función de destrucción de datos implementada. ¿Podría ser esto una pista sobre el futuro de la extorsión de datos?
Con ransomware-as-a-service (RaaS) y fugas de datos (DLS), el panorama de la extorsión de datos ve constantemente nuevas innovaciones de los actores de amenazas, así como acrónimos de las empresas de seguridad que los rastrean. En este informe conjunto, Cyderes y Stairwell examinan la evidencia de una nueva táctica encontrada en la herramienta de exfiltración de un participante de BlackCat/ALPHV descubierta durante una investigación realizada por Cyderes.
Investigación de ransomware en detalle
Después de un incidente en Cyderes, el equipo encontró y analizó la herramienta en el contexto de una investigación de ransomware BlackCat/ALPHV. Cyderes realizó una evaluación inicial y se dio cuenta de que la herramienta es una herramienta de exfiltración con credenciales SFTP codificadas. Cyderes luego usó la herramienta de inicio de Stairwell para un análisis adicional.
La muestra también se envió al equipo de investigación de amenazas de Stairwell, donde el análisis reveló una función de destrucción de datos parcialmente implementada. El uso de la destrucción de datos por parte de actores a nivel de afiliados en lugar de implementar RaaS marcaría un cambio importante en el panorama de la extorsión de datos y señalaría la balcanización de los actores de intrusión motivados financieramente que actualmente operan bajo los estandartes de los programas de afiliados de RaaS. Tal vez esto podría ser un nuevo nivel de chantaje de ransomware.
La herramienta también es utilizada por BlackMatter
La muestra examinada es un archivo .NET ejecutable diseñado para la filtración de datos utilizando los protocolos FTP, SFTP y WebDAV e incluye funcionalidad para corromper los archivos en el disco que han sido extraídos. El comportamiento de exfiltración de esta muestra coincide con los informes anteriores de Exmatter, una herramienta de exfiltración de .NET utilizada por al menos una subsidiaria del grupo de ransomware BlackMatter. Cyderes observó la muestra en relación con la implementación del ransomware BlackCat/ALPHV, que supuestamente es operado por afiliados de numerosos grupos de ransomware, incluido BlackMatter. Un examen técnico adicional de la muestra de Stairwell está disponible en su sitio web.
Más en Staiwell.com