Exmatter olarak bilinen ve daha önce Blackmatter fidye yazılımı grubuyla bağlantılı olarak bilinen veri açma kötü amaçlı yazılımları, fidye yazılımı iştiraklerinin gelecekte geçebileceği yeni bir taktik olduğunu gösterebilecek veri bozulması işlevselliği ile yükseltilmektedir.
Yeni örnek, bir Blackcat fidye yazılımı saldırısının ardından yakın tarihli bir olay yanıtı sırasında Cyderes Özel Operasyon ekibi ile kötü amaçlı yazılım analistleri tarafından tespit edildi ve daha sonra daha fazla analiz için merdiven boşluğu tehdidi araştırma ekibi ile paylaşıldı (Symantec, Noberus fidye yazılımı saldırısında benzer bir örnek gördü).
Exmatter, en az Ekim 2021'den beri Blackmatter bağlı kuruluşları tarafından kullanılırken, kötü niyetli aracı ilk kez yıkıcı bir modül sundu.
Cyderes, "Dosyalar aktör kontrollü sunucuya yüklendikçe, uzak sunucuya başarıyla kopyalanan dosyaların Elaser adlı bir sınıf tarafından işlenmesi için sıraya alınır." Dedi.
"İkinci dosyanın başlangıcından başlayarak rastgele büyüklüğünde bir segment bir arabelleğe okunur ve daha sonra ilk dosyanın başlangıcına yazılır, üzerine yazılır ve dosyayı bozar."
Başka bir dosyayı yozlandırmak için bir şekilde bir şekilde birleştirilmiş dosyadan verileri kullanma taktiği, rastgele oluşturulan verileri kullanırken tetikleyebilecek fidye yazılımından veya silecek sezgisel tabanlı algılamadan kaçınma girişiminin bir parçası olabilir.
Merdiven boşluğu tehdidi araştırmacılarının bulduğu gibi, Exmatter'ın kısmen uygulanan veri yıkım yetenekleri şunları göz önüne alındığında hala geliştirilmektedir:
Bu veri yolsuzluğu özelliği ilginç bir gelişmedir ve güvenlik yazılımından kaçınmak için de kullanılsa da, Stairwell ve Cyderes'teki araştırmacılar, fidye yazılım iştirakleri tarafından kullanılan stratejideki bir değişimin bir parçası olabileceğini düşünmektedir.
Birçok fidye yazılımı operasyonu, operatörlerin/geliştiricilerin fidye yazılımı, ödeme sitesi ve müzakereleri geliştirmekten sorumlu olduğu bir fidye yazılımı olarak çalışırken, iştirakler kurumsal ağları ihlal etmeye, verileri çalmaya, yedeklemeleri silmek ve şifrelemeye katılmaya katılır. .
Bu düzenlemenin bir parçası olarak, fidye yazılımı operatörleri herhangi bir fidye ödemesinin% 15-30'unu alır ve iştirakler geri kalanını alırlar.
Bununla birlikte, fidye yazılımı işlemleri geçmişte, güvenlik araştırmacılarının kurbanların dosyaları ücretsiz olarak kurtarmasına yardımcı olan şifrelemeler oluşturmasına izin veren hataları tanıtmak için bilinmektedir.
Bu olduğunda, bağlı kuruluşlar fidye ödemesinin bir parçası olarak alacakları herhangi bir potansiyel geliri kaybederler.
Bu nedenle, araştırmacılar bu yeni veri yolsuzluğu özelliğinin, verilerin çalındığı ve daha sonra şifrelendiği geleneksel fidye yazılımı saldırılarından yeni bir geçiş olabileceğine inanıyorlar.
Bu yöntem altında, bağlı kuruluş, bir yüzdeyi şifreleme geliştiricisi ile paylaşmaları gerekmediği için bir saldırıdan elde edilen tüm geliri korur.
Cyderes, "İştirakler, bu .NET tabanlı eksfiltrasyon aracının önceki görünümleriyle ilişkili fidye yazılımı olan Blackmatter'da olduğu gibi, fidye yazılımlarındaki kullanılabilir kusurlar nedeniyle başarılı müdahalelerden elde edilen karları da kaybetti."
Hassas verilerin sunucularına eksfiltrat ettikten sonra yok edilmesi bunun gerçekleşmesini önleyecek ve büyük olasılıkla kurbanların fidye taleplerini ödemeleri için ek bir teşvik görevi görecektir.
Cyderes, "Verileri şifreleme adımının ortadan kaldırılması, süreci daha hızlı hale getiriyor ve tam ödeme almama riskini ortadan kaldırıyor ya da kurbanın verilerin şifresini çözmek için başka yollar bulacağını." Dedi.
Bu nedenle, RAAS iştiraklerinin tüm parayı kendileri için tutmak için saldırılarında fidye yazılımı dağıtım bölümünü kaldırmasına izin verecek geliştirme içi veri yolsuzluk yetenekleriyle yükseltme sürecinde exfiltrasyon araçlarını görüyoruz.
Merdiven kanal tehdidi araştırmacısı Daniel Mayer, "Ayrıca, alınan her zorlu ödeme için, operatör RAAS geliştiricilerine bir yüzde ödemek yerine fidye ödemesinin% 100'ünü koruyacak."
Diyerek şöyle devam etti: "Bu faktörler, RAAS modelini kendi başlarına vurmaya bırakarak, kalkınma ağırlıklı fidye yazılımlarını veri imha ile değiştirmek için haklı bir durumda doruğa ulaşıyor."
Blackcat Ransomware’in Veri Eksfiltrasyon Aracı Yükseltme
Emotet botnet artık kuantum ve blackcat fidye yazılımını itiyor
Blackcat Fidye Yazılımı İtalyan Enerji Ajansı'na saldırı talep ediyor
2 haftada 3 fidye yazılımı çetesi tarafından ihlal edilen otomotiv tedarikçisi
Blackcat Fidye Yazılımı Talepleri Avrupa Gaz Boru Hattı'na saldırı
Kaynak: Bleeping Computer