Pesquisadores da equipe da Symantec Threat Hunter, divisão de soluções de segurança para empresas daBroadcom, descobriram uma nova ferramenta de exfiltração de dados projetada para acelerar o roubo de informações para grupos de ransomware usando a variante BlackMatter.
A equipe de pesquisadores explicou em uma postagem no blog da empresa que a ferramenta personalizada é a terceira descoberta desse tipo, após o desenvolvimento das ferramentas Ryuk Stealer e StealBit vinculado ao grupo hacker que opera o ransomware LockBit.
Chamada de Exmatter, a ferramenta foi projetada para roubar tipos de arquivos específicos de diretórios selecionados e, em seguida, enviá-los a um servidor sob o controle dos atacantes do BlackMatter.
Esse processo de reduzir as fontes de dados a apenas aquelas consideradas mais lucrativas ou críticas para os negócios foi desenvolvido para acelerar todo o processo de exfiltração de dados, presumivelmente para que os operadores de ameaças possam concluir seus estágios de ataque antes de serem descobertos e interrompidos.
Veja isso
Versão Linux do BlackMatter visa servidores VMware ESXi
Ransomware DarkSide retoma operações como BlackMatter
Depois de recuperar os nomes de todas as unidades lógicas no computador da vítima e coletar todos os nomes dos arquivos, o Exmatter desconsidera coisas em diretórios específicos como “C:\Documents and Settings”. Ele exfiltra apenas tipos de arquivo específicos, como PDFs, documentos do Word, planilhas e PowerPoints, e visa priorizá-los para exfiltração usando o LastWriteTime. Assim que a exfiltração é concluída, o Exmatter procura sobrescrever e excluir quaisquer vestígios de si mesmo do computador da vítima.
A Symantec disse que encontrou várias versões da ferramenta, indicando que seus desenvolvedores tentaram refinar sua funcionalidade para acelerar o processo de roubo de dados na medida do possível. Os pesquisadores da empresa afirmaram que o BlackMatter está ligado ao grupo de cibercrimes Coreid, que também pode ter sido responsável pelo Darkside, a variante que levou à interrupção da Colonial Pipeline no início de maio. No entanto, não está claro se o Exmatter foi desenvolvido por este grupo ou por um dos muitos afiliados que usam o BlackMatter em ataques.
As autoridades dos EUA emitiram um alerta sobre a BlackMatter em meados de outubro, depois que que ele começou a visar fornecedores de infraestrutura crítica.