Ransomware Exmatter niszczy wszystkie dane – ponowny kierunek rozwoju ransomware?

W związku z atakiem na Ukrainę o którym pisaliśmy w lutym, malware będący w posiadaniu grupy BlackCat/ALPHV ponownie narzuca kierunek rozwoju infekcji ransomware poprzez usuwanie i niszczenie plików oraz struktury organizacji zamiast jej szyfrowania. Niestety ten kierunek może szybko stać się głównym czynnikiem ataków motywowanych finansowo. Badacze z Cyderes oraz Stairwell zbadali próbki narzędzia .NET służącego do eksfiltracji danych przy ransomware Exmatter i potwierdzili ten proces. Jedyny sposób na odzyskanie danych to ich odkupienie od napastników (jeżeli nie posiadamy kopii bezpieczeństwa i nie możemy przywrócić całej infrastruktury).

Grupa BlackMatter jest powiązana z grupą Coreid, odpowiedzialną za wcześniejsze ataki Darkside ransomware, które doprowadziły do zatrzymania dostaw paliwa w USA w 2021 r. Obie grupy (a być może tak naprawdę już jedna) pracują w modelu RaaS (Ransomware-as-a-Service) oferując swoje usługi w Darknecie. Jak większość cyber zbójów, po wykradzeniu danych żądają oni okupu bo w przeciwnym razie dane zostaną upublicznione lub trwale usunięte, co jest główną cechą rozpoznawczą tej grupy.

Istnieje wiele wersji Exmattera, jednak wszystkie są skompilowane za pomocą biblioteki .NET z zaciemnionym kodem. Rozpoznanie najnowszej próbki wskazuje na rozwój kolejnej wersji infekcji podstawowej, aniżeli jej nowe rozgałęzienie. Po uruchomieniu malware na komputerze, rozpoczyna się proces przeszukiwania plików o wielkości między 4, a 67 MB o konkretnych rozszerzeniach z poniższej listy.

Rys. 1. Lista poszukiwanych rozszerzeń plików przez Exmatter, źródło.

Faza przeszukiwania i eksfiltracji plików nazywa się w tym przypadku klasą “Sync” w kodzie i jest ona identyczna dla wszystkich wersji Exmatter. Różnica pomiędzy wersjami polega na sposobie wysyłki plików i może to być: za pomocą protokołu FTP, SFTP lub webDAV. Najczęściej spotykana wersja to SFTP do serwera o stałym adresie IP: 128[.]199[.]145[.]18. Proces kopiowania jest także zasadny pod względem sposobu wykrywania anomalii przez algorytmy heurystyczne narzędzi do zwalczania infekcji. Jest znacznie mniej prawdopodobne, że użytkownik zmaga się z ransomware poprzez kopiowanie wielu plików, aniżeli w przypadku nagłego szyfrowania połowy partycji. Po udanej wysyłce plików następuje faza niszczenia pod nazwą klasy “Eraser”. Nie polega ono na całkowitym usunięciu plików, które teoretycznie z poziomu kopii zapasowych byłoby stosunkowo łatwo przywrócić, a raczej na wielokrotnym nadpisywaniu zawartością z pliku skopiowanego nieco wcześniej. Może to doprowadzić do sytuacji gdy administratorzy nie zauważą nadpisania, że kopie zapasowe zostaną wykonane już w wersji uszkodzonej starych plików.

Rys. 2. Proces niszczenia plików po wysyłce, źródło.

Pojawienie się nowej, a tak naprawdę starej funkcji ransomware przypomina o szybko ewoluującym i coraz bardziej wyrafinowanym krajobrazie zagrożeń, w którym cyber zbóje szukają coraz bardziej kreatywnych sposobów kryminalizacji i monetyzacji swojej działalności. Wbrew powszechnemu przekonaniu, współczesne ataki nie zawsze polegają na kradzieży, szyfrowaniu danych, ale mogą dotyczyć niszczenia, zakłócania pracy infrastruktury. 

Pamiętajcie o procedurach realizacji kopii bezpieczeństwa, o backupach offline, offsite oraz regularnym sprawdzaniu możliwości odtworzenia środowiska.

Źródło: https://stairwell.com/news/threat-research-report-exmatter-future-of-data-extortion/ 

~tt