Хакеры нашли эффективный способ вымогательства, гораздо практичнее шифрования

Хакеры нашли эффективный способ вымогательства, гораздо практичнее шифрования

Операторы шифровальщика BlackCat стали дополнять атаки новым вредоносом, который вместо шифрования выводит копии файлов и незаметно, но безнадежно портит оригиналы.

Порча вместо шифрования

Кибервымогатели начали использовать новый вредонос под названием Exmatter. К настоящему времени его чаще всего задействуют в связке с шифровальщиком BlackCat/ALPHV. Считается, что этим шифровальщиком пользуются многочисленные аффилиаты разных RaaS-группировок, в том числе BlackMatter.

Exmatter (уже название которого намекает на связь с BlackMatter) позволяет операторам выкрадывать из скомпрометированных сетей файлы конкретных типов из заданных каталогов, прежде чем запускается собственно шифровальщик или файлы фактически уничтожаются.

Проанализированный экспертами компаний Cyderes и Stairwell сэмпл снабжен деструктивным модулем, который пытается повредить содержимое файлов, а не зашифровать их. То есть, речь идет о функциональности вайпера.

Как выяснили эксперты, после выгрузки файлов, интересующих злоумышленников, на удаленный сервер, запускается деструктивная функция: случайно выбранный сегмент каждого следующего файла в очереди копируется в буфер и записывается в начало предыдущего файла, перекрывая исходное содержимое и тем самым нарушая его целостность.

Новый инструмент кибервымогательства перезаписывает фрагменты одних файлов в другие

Такой алгоритм позволяет вредоносу избегать реакции со стороны защитных средств на базе эвристических алгоритмов, которые определяют шифровальщики и вайперы по поведению. Кроме того, копирование данных из одного файла в другой также выглядит куда более невинно, чем перезапись файлов случайными данными или шифрование.

Надежно и практично

Эксперты отметили, что разработка стабильного шифровальщика — куда более затратное предприятие, чем создание программы, которая будет повреждать файлы и предлагать для их восстановления выведенные ранее копии.

«К тому же это будет намного быстрее работать, — говорит Анастасия Мельникова, директор по информационной безопасности компании SEQ. — На шифрование уходит больше вычислительных ресурсов, чем на банальную порчу данных, да и к тому же, если иногда ошибки в шифровальщиках позволяют рзблокировать файлы, не выплачивая выкуп, то в случаях, когда речь идет о порче файлов, расшифровывать тут нечего. Если резервное копирование должным образом не налажено, остается только надеяться получить копии тех же файлов от злоумышленников и на их условиях».

Эксперты Cyderes и Stairwell указывают, что деструктивная функция Exmatter, судя по всему, еще не готова до конца. Например, сегмент файла, которым перезаписывается фрагмент другого, имеет произвольные размеры — вплоть до одного байта; механизм изъятия файлов из очереди на «порчу» не реализован, так что некоторые файлы могут быть повреждены несколько раз, другие — остаться целыми.

Тем не менее, Exmatter — это иллюстрация нового и более практичного подхода к кибервымогательству, так что не исключено, что этот метод будет взят на вооружение многими группировками.

Источник: CNews

Источник: audit-it.ru

Next Post

Во всех регионах страны апробируют электронные водительские удостоверения

© anekdotov.net Минцифры и МВД начали опытную эксплуатацию сервиса по предъявлению электронного водительского удостоверения в приложении "Госуслуги Авто". В первой половине октября 2022 года пройдет тестирование информационных систем. Предъявление электронного в/у будет доступно в новой версии приложения "Госуслуги Авто" во второй половине октября 2022 года. Водители смогут предъявлять инспекторам электронное […]