hackers miram itália e espanha no covid-19

Grupo hacker acelera roubo de dados com nova ferramenta

Da Redação
02/11/2021
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

Pesquisadores da equipe da Symantec Threat Hunter, divisão de soluções de segurança para empresas daBroadcom, descobriram uma nova ferramenta de exfiltração de dados projetada para acelerar o roubo de informações para grupos de ransomware usando a variante BlackMatter.

A equipe de pesquisadores explicou em uma postagem no blog da empresa que a ferramenta personalizada é a terceira descoberta desse tipo, após o desenvolvimento das ferramentas Ryuk Stealer e StealBit vinculado ao grupo hacker que opera o ransomware LockBit.

Chamada de Exmatter, a ferramenta foi projetada para roubar tipos de arquivos específicos de diretórios selecionados e, em seguida, enviá-los a um servidor sob o controle dos atacantes do BlackMatter.

Esse processo de reduzir as fontes de dados a apenas aquelas consideradas mais lucrativas ou críticas para os negócios foi desenvolvido para acelerar todo o processo de exfiltração de dados, presumivelmente para que os operadores de ameaças possam concluir seus estágios de ataque antes de serem descobertos e interrompidos.

Veja isso
Versão Linux do BlackMatter visa servidores VMware ESXi
Ransomware DarkSide retoma operações como BlackMatter

Depois de recuperar os nomes de todas as unidades lógicas no computador da vítima e coletar todos os nomes dos arquivos, o Exmatter desconsidera coisas em diretórios específicos como “C:\Documents and Settings”. Ele exfiltra apenas tipos de arquivo específicos, como PDFs, documentos do Word, planilhas e PowerPoints, e visa priorizá-los para exfiltração usando o LastWriteTime. Assim que a exfiltração é concluída, o Exmatter procura sobrescrever e excluir quaisquer vestígios de si mesmo do computador da vítima.

A Symantec disse que encontrou várias versões da ferramenta, indicando que seus desenvolvedores tentaram refinar sua funcionalidade para acelerar o processo de roubo de dados na medida do possível. Os pesquisadores da empresa afirmaram que o BlackMatter está ligado ao grupo de cibercrimes Coreid, que também pode ter sido responsável pelo Darkside, a variante que levou à interrupção da Colonial Pipeline no início de maio. No entanto, não está claro se o Exmatter foi desenvolvido por este grupo ou por um dos muitos afiliados que usam o BlackMatter em ataques.

As autoridades dos EUA emitiram um alerta sobre a BlackMatter em meados de outubro, depois que que ele começou a visar fornecedores de infraestrutura crítica.

Compartilhar:

Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

ATENÇÃO: INCLUA [email protected] NOS CONTATOS DE EMAIL

(para a newsletter não cair no SPAM)