最近、ある専門家が、BlackCat または ALPHV グループに起因するランサムウェアを分析しました。 興味深い SFTP 機能に加えて、実装されたデータ破壊機能もそこで発見されました。 これは、データ強要の未来への手がかりになるでしょうか?
ランサムウェア アズ ア サービス (RaaS) とデータ漏洩 (DLS) により、データ恐喝の状況では、攻撃者による新しい技術革新と、それらを追跡するセキュリティ会社の頭字語が常に見られます。 この共同レポートでは、Cyderes と Stairwell が、Cyderes による調査中に発見された BlackCat/ALPHV 参加者の抽出ツールで発見された新しい戦術の証拠を調べています。
ランサムウェア調査の詳細
Cyderes でのインシデントの後、チームは BlackCat/ALPHV ランサムウェア調査のコンテキストでツールを見つけて分析しました。 Cyderes は最初の評価を行い、このツールがハードコードされた SFTP 資格情報を使用する抽出ツールであることに気付きました。 次に Cyderes は、追加の分析のために Stairwell のインセプション ツールを使用しました。
このサンプルは Stairwell の脅威研究チームにも送られ、分析の結果、データ破壊機能が部分的に実装されていることが明らかになりました。 RaaS を展開する代わりにアフィリエイト レベルの攻撃者がデータ破壊を使用することは、データ強要の状況に大きな変化をもたらし、現在 RaaS アフィリエイト プログラムの旗印の下で活動している金銭目的の侵入アクターの分断を示唆します。 おそらく、これは新しいレベルのランサムウェア脅迫である可能性があります。
このツールは BlackMatter でも使用されています
調査対象のサンプルは、FTP、SFTP、および WebDAV プロトコルを使用したデータ流出用に設計された実行可能な .NET ファイルであり、流出したディスク上のファイルを破損する機能が含まれています。 このサンプルの抽出動作は、BlackMatter ランサムウェア グループの少なくとも XNUMX つの子会社が使用する .NET 抽出ツールである Exmatter からの以前のレポートとほぼ一致しています。 このサンプルは、BlackMatter を含む多数のランサムウェア グループの関連会社によって運用されているとされる BlackCat/ALPHV ランサムウェアの展開に関連して、Cyderes によって観察されました。 Stairwell サンプルのさらなる技術的調査は、彼の Web サイトで入手できます。
詳しくはStaiwell.comで