Récemment, un expert a analysé les ransomwares attribués au groupe BlackCat ou ALPHV. En plus des fonctions SFTP intéressantes, une fonction de destruction de données implémentée y a également été découverte. Cela pourrait-il être un indice sur l'avenir de l'extorsion de données ?
Avec le ransomware-as-a-service (RaaS) et les fuites de données (DLS), le paysage de l'extorsion de données voit constamment de nouvelles innovations de la part des acteurs de la menace, ainsi que des acronymes des entreprises de sécurité qui les traquent. Dans ce rapport conjoint, Cyderes et Stairwell examinent les preuves d'une nouvelle tactique trouvée dans l'outil d'exfiltration d'un participant de BlackCat/ALPHV découvert lors d'une enquête menée par Cyderes.
Enquête sur les rançongiciels en détail
Après un incident à Cyderes, l'équipe a trouvé et analysé l'outil dans le cadre d'une enquête sur le rançongiciel BlackCat/ALPHV. Cyderes a effectué une évaluation initiale et s'est rendu compte que l'outil est un outil d'exfiltration avec des informations d'identification SFTP codées en dur. Cyderes a ensuite utilisé l'outil de démarrage de Stairwell pour une analyse supplémentaire.
L'échantillon a également été envoyé à l'équipe de recherche sur les menaces de Stairwell, où l'analyse a révélé une fonction de destruction de données partiellement implémentée. L'utilisation de la destruction de données par des acteurs au niveau des affiliés au lieu de déployer le RaaS marquerait un changement majeur dans le paysage de l'extorsion de données et signalerait la balkanisation des acteurs d'intrusion à motivation financière opérant actuellement sous les bannières des programmes d'affiliation RaaS. Peut-être que cela pourrait être un nouveau niveau de chantage aux ransomwares.
L'outil est également utilisé par BlackMatter
L'échantillon examiné est un fichier exécutable .NET conçu pour l'exfiltration de données à l'aide des protocoles FTP, SFTP et WebDAV et inclut une fonctionnalité permettant de corrompre les fichiers sur disque qui ont été exfiltrés. Le comportement d'exfiltration de cet échantillon correspond étroitement aux rapports précédents d'Exmatter, un outil d'exfiltration .NET utilisé par au moins une filiale du groupe de rançongiciels BlackMatter. L'échantillon a été observé par Cyderes dans le cadre du déploiement du ransomware BlackCat/ALPHV, qui serait exploité par des filiales de nombreux groupes de ransomwares, dont BlackMatter. Un autre examen technique de l'échantillon Stairwell est disponible sur son site Web.
Plus sur Staiwell.com