Son zamanlarda bir uzman, BlackCat veya ALPHV grubuna atfedilen fidye yazılımlarını analiz etti. İlginç SFTP işlevlerine ek olarak, burada uygulanan bir veri imha işlevi de keşfedildi. Bu, veri gaspının geleceğine dair bir ipucu olabilir mi?
Hizmet olarak fidye yazılımı (RaaS) ve veri sızıntıları (DLS) ile veri gasp ortamı, sürekli olarak tehdit aktörlerinden yeni yenilikler ve onları izleyen güvenlik şirketlerinin kısaltmalarını görüyor. Bu ortak raporda, Cyderes ve Stairwell, Cyderes tarafından yürütülen bir soruşturma sırasında bir BlackCat/ALPHV katılımcısının hırsızlık aracında bulunan yeni bir taktiğin kanıtlarını inceliyor.
Ayrıntılı fidye yazılımı araştırması
Cyderes'teki bir olaydan sonra ekip, aracı bir BlackCat/ALPHV fidye yazılımı araştırması bağlamında buldu ve analiz etti. Cyderes bir ilk değerlendirme gerçekleştirdi ve aracın sabit kodlanmış SFTP kimlik bilgilerine sahip bir sızma aracı olduğunu fark etti. Cyderes daha sonra ek analiz için Stairwell'in başlangıç aracını kullandı.
Örnek ayrıca Stairwell'in Tehdit Araştırma Ekibine gönderildi ve burada analiz, kısmen uygulanmış bir veri imha özelliğini ortaya çıkardı. RaaS'yi konuşlandırmak yerine bağlı kuruluş düzeyindeki aktörler tarafından veri imhasının kullanılması, veri gaspı ortamında büyük bir değişime işaret edecek ve şu anda RaaS bağlı programlarının bayrakları altında faaliyet gösteren mali amaçlı izinsiz giriş aktörlerinin balkanlaşmasına işaret edecektir. Belki bu, fidye yazılımı şantajında yeni bir seviye olabilir.
Araç, BlackMatter tarafından da kullanılır
İncelenen örnek, FTP, SFTP ve WebDAV protokollerini kullanarak veri hırsızlığı için tasarlanmış yürütülebilir bir .NET dosyasıdır ve diskteki hırsızlığa uğramış dosyaları bozma işlevi içerir. Bu örneğin hırsızlık davranışı, BlackMatter fidye yazılımı grubunun en az bir yan kuruluşu tarafından kullanılan bir .NET hırsızlık aracı olan Exmatter'ın önceki raporlarıyla yakından eşleşir. Örnek, Cyderes tarafından, BlackMatter dahil çok sayıda fidye yazılımı grubunun bağlı kuruluşları tarafından çalıştırıldığı iddia edilen BlackCat/ALPHV fidye yazılımının konuşlandırılmasıyla bağlantılı olarak gözlemlendi. Merdiven Boşluğu örneğinin daha ayrıntılı bir teknik incelemesi, web sitesinde mevcuttur.
Staiwell.com'da daha fazlası