O Exmatter, um conhecido malware de exfiltração de dados usado pelo grupo de ransomware BlackMatter, foi detectado operando uma nova tática. O malware foi atualizado com a funcionalidade de corrupção de dados, o que pode significar uma mudança no modus operandi nos ataques de ransomware, com os hackers preferindo abandonar o uso de criptografia.
A nova tática de corrupção de dados foi identificada pela equipe Cyderes Special Operations durante resposta a um incidente recente após um ataque do ransomware BlackCat e compartilhada com a equipe Stairwell Threat Research para análise posterior — a Symantec analisou uma amostra semelhante implantada em um ataque do ransomware Noberus.
O malware Exmatter foi inicialmente projetado para extrair arquivos do dispositivo da vítima e carregá-los no servidor do invasor antes que o ransomware seja executado. Mas desta vez o malware corrompeu os arquivos no sistema comprometido.
Embora o Exmatter tenha sido usado por afiliados do BlackMatter desde ao menos outubro de 2021, esta é a primeira vez que a ferramenta maliciosa foi vista com um módulo destrutivo. “À medida que os arquivos foram carregados para o servidor controlado pelo hacker, ele foram copiados com sucesso para o servidor remoto e enfileirados para serem processados por uma classe chamada Eraser”, disse o Cyderes. “Um segmento de tamanho aleatório começando no início do segundo arquivo é lido em um buffer e, em seguida, gravado no início do primeiro arquivo, substituindo-o e corrompendo-o.”
Essa tática de usar dados de um arquivo exfiltrado para corromper outro arquivo pode ser parte de uma tentativa de evitar a detecção do ransomware ou limpador de arquivos que pode ser acionada ao usar dados gerados aleatoriamente. Como os pesquisadores de ameaças da Stairwell descobriram, os recursos de destruição de dados parcialmente implementados do Exmatter provavelmente ainda estão em desenvolvimento, pois não há nenhum mecanismo para remover arquivos da fila de corrupção, o que significa que alguns arquivos podem ser substituídos várias vezes antes que o programa termine, enquanto outros podem nunca ter sido selecionados.
O recurso de corrupção de dados é um desenvolvimento interessante e, embora também possa ser usado para evitar software de segurança, pesquisadores da Stairwell e Cyderes acham que pode ser parte de uma mudança na estratégia usada pelos afiliados ao grupo de ransomware.
Veja isso
Malware usa canal ultrassônico de giroscópio para vazar dados
Grupo hacker acelera roubo de dados com nova ferramenta
Muitas operações de ransomware são executadas como ransomware-as-a-service (RaaS), em que os operadores/desenvolvedores são responsáveis por desenvolver o ransomware, site de pagamento e lidar com negociações, enquanto os afiliados se juntam para violar redes corporativas, roubar dados, excluir backups e criptografar dispositivos . Como parte desse acordo, os operadores de ransomware recebem entre 15 e 30% de qualquer pagamento de resgate e os afiliados recebem o restante.
No entanto, as operações de ransomware eram conhecidas no passado por introduzir bugs que permitiram que os pesquisadores de segurança criassem descriptografadores que ajudam as vítimas a recuperar arquivos gratuitamente. Quando isso acontece, os afiliados perdem a receita potencial que teriam recebido como parte de um pagamento de resgate.
Devido a isso, os pesquisadores acreditam que esse novo recurso de corrupção de dados pode ser uma nova mudança dos ataques tradicionais de ransomware, em que os dados são roubados e depois criptografados, para ataques em que os dados são roubados e depois excluídos ou corrompidos.
