Нещодавно експерт проаналізував програми-вимагачі, віднесені до групи BlackCat або ALPHV. Крім цікавих функцій SFTP, там також була виявлена реалізована функція знищення даних. Чи може це бути ключем до майбутнього вимагання даних?
Завдяки програмам-вимагачам як послугам (RaaS) і витокам даних (DLS) у сфері вимагання даних постійно з’являються нові інновації від загрозливих осіб, а також абревіатури від фірм безпеки, які їх відстежують. У цьому спільному звіті Cyderes і Stairwell досліджують докази нової тактики, знайденої в інструменті ексфільтрації BlackCat/ALPHV, який був виявлений під час розслідування Cyderes.
Детальне розслідування програм-вимагачів
Після інциденту в Cyderes команда знайшла та проаналізувала інструмент у контексті розслідування програми-вимагача BlackCat/ALPHV. Cyderes провів початкову оцінку та зрозумів, що інструмент є інструментом ексфільтрації з жорстко закодованими обліковими даними SFTP. Потім Cyderes використав початковий інструмент Stairwell для додаткового аналізу.
Зразок також було надіслано групі дослідження загроз Stairwell, де аналіз виявив частково реалізовану функцію знищення даних. Використання знищення даних суб’єктами афілійованого рівня замість розгортання RaaS ознаменує значну зміну в ландшафті вимагання даних і сигналізує про балканізацію фінансово вмотивованих суб’єктів вторгнення, які зараз працюють під прапорами афілійованих програм RaaS. Можливо, це новий рівень шантажу програм-вимагачів.
Інструмент також використовується BlackMatter
Досліджуваний зразок є виконуваним файлом .NET, призначеним для викрадання даних за допомогою протоколів FTP, SFTP і WebDAV і містить функції для пошкодження файлів на диску, які були викрадені. Поведінка ексфільтрації цього зразка дуже відповідає попереднім звітам Exmatter, інструменту ексфільтрації .NET, який використовується принаймні однією дочірньою компанією групи програм-вимагачів BlackMatter. Зразок спостерігав Cyderes у зв’язку з розгортанням програми-вимагача BlackCat/ALPHV, якою нібито керують філії численних груп програм-вимагачів, зокрема BlackMatter. Подальше технічне дослідження зразка сходової клітки доступне на його веб-сайті.
Більше на Staiwell.com