Di recente, un esperto ha analizzato il ransomware attribuito al gruppo BlackCat o ALPHV. Oltre alle interessanti funzioni SFTP, è stata scoperta anche una funzione di distruzione dei dati implementata. Questo potrebbe essere un indizio per il futuro dell'estorsione di dati?
Con il ransomware-as-a-service (RaaS) e le fughe di dati (DLS), il panorama dell'estorsione dei dati vede costantemente nuove innovazioni da parte degli attori delle minacce, così come gli acronimi delle società di sicurezza che li seguono. In questo rapporto congiunto, Cyderes e Stairwell esaminano le prove di una nuova tattica trovata nello strumento di esfiltrazione di un partecipante BlackCat/ALPHV scoperto durante un'indagine di Cyderes.
Indagine sui ransomware in dettaglio
Dopo un incidente a Cyderes, il team ha trovato e analizzato lo strumento nel contesto di un'indagine sul ransomware BlackCat/ALPHV. Cyderes ha eseguito una valutazione iniziale e si è reso conto che lo strumento è uno strumento di esfiltrazione con credenziali SFTP codificate. Cyderes ha quindi utilizzato lo strumento iniziale di Stairwell per ulteriori analisi.
Il campione è stato anche inviato al Threat Research Team di Stairwell, dove l'analisi ha rivelato una funzione di distruzione dei dati parzialmente implementata. L'uso della distruzione dei dati da parte di attori a livello di affiliazione invece di implementare RaaS segnerebbe un importante cambiamento nel panorama dell'estorsione di dati e segnalerebbe la balcanizzazione degli attori di intrusione motivati finanziariamente che attualmente operano sotto le bandiere dei programmi di affiliazione RaaS. Forse questo potrebbe essere un nuovo livello di ricatto ransomware.
Lo strumento è utilizzato anche da BlackMatter
Il campione esaminato è un file .NET eseguibile progettato per l'esfiltrazione di dati tramite i protocolli FTP, SFTP e WebDAV e include funzionalità per corrompere i file su disco che sono stati esfiltrati. Il comportamento di esfiltrazione di questo esempio corrisponde strettamente ai rapporti precedenti di Exmatter, uno strumento di esfiltrazione .NET utilizzato da almeno una consociata del gruppo di ransomware BlackMatter. Il campione è stato osservato da Cyderes in relazione all'implementazione del ransomware BlackCat/ALPHV, presumibilmente gestito da affiliati di numerosi gruppi di ransomware, tra cui BlackMatter. Un ulteriore esame tecnico del campione Stairwell è disponibile sul suo sito web.
Altro su Staiwell.com