Recentemente, um especialista analisou ransomware atribuído ao grupo BlackCat ou ALPHV. Além das funções SFTP interessantes, também foi descoberta uma função de destruição de dados implementada. Isso poderia ser uma pista para o futuro da extorsão de dados?
Com ransomware-as-a-service (RaaS) e vazamentos de dados (DLS), o cenário de extorsão de dados está constantemente vendo inovações de agentes de ameaças, bem como acrônimos das empresas de segurança que os rastreiam. Neste relatório conjunto, Cyderes e Stairwell examinam as evidências de uma nova tática encontrada na ferramenta de exfiltração de um participante do BlackCat/ALPHV descoberta durante uma investigação de Cyderes.
Investigação de ransomware em detalhes
Após um incidente em Cyderes, a equipe encontrou e analisou a ferramenta no contexto de uma investigação do ransomware BlackCat/ALPHV. Cyderes realizou uma avaliação inicial e percebeu que a ferramenta é uma ferramenta de exfiltração com credenciais SFTP codificadas. Cyderes então usou a ferramenta inicial de Stairwell para análises adicionais.
A amostra também foi enviada para a equipe de pesquisa de ameaças da Stairwell, onde a análise revelou um recurso de destruição de dados parcialmente implementado. O uso da destruição de dados por atores de nível afiliado em vez de implantar RaaS marcaria uma grande mudança no cenário de extorsão de dados e sinalizaria a balcanização de agentes de intrusão motivados financeiramente que operam atualmente sob as bandeiras dos programas afiliados de RaaS. Talvez isso possa ser um novo nível de chantagem de ransomware.
A ferramenta também é usada pelo BlackMatter
A amostra examinada é um arquivo .NET executável projetado para exfiltração de dados usando protocolos FTP, SFTP e WebDAV e inclui funcionalidade para corromper os arquivos em disco que foram exfiltrados. O comportamento de exfiltração desta amostra se aproxima de relatórios anteriores do Exmatter, uma ferramenta de exfiltração .NET usada por pelo menos uma subsidiária do grupo de ransomware BlackMatter. A amostra foi observada por Cyderes em conexão com a implantação do ransomware BlackCat/ALPHV, que supostamente é operado por afiliados de vários grupos de ransomware, incluindo o BlackMatter. Um exame técnico adicional da amostra Stairwell está disponível em seu site.
Mais em Staiwell.com