hackers miram itália e espanha no covid-19

Grupo hacker acelera roubo de dados com nova ferramenta

Da Redação
02/11/2021

Pesquisadores da equipe da Symantec Threat Hunter, divisão de soluções de segurança para empresas daBroadcom, descobriram uma nova ferramenta de exfiltração de dados projetada para acelerar o roubo de informações para grupos de ransomware usando a variante BlackMatter.

A equipe de pesquisadores explicou em uma postagem no blog da empresa que a ferramenta personalizada é a terceira descoberta desse tipo, após o desenvolvimento das ferramentas Ryuk Stealer e StealBit vinculado ao grupo hacker que opera o ransomware LockBit.

Chamada de Exmatter, a ferramenta foi projetada para roubar tipos de arquivos específicos de diretórios selecionados e, em seguida, enviá-los a um servidor sob o controle dos atacantes do BlackMatter.

Esse processo de reduzir as fontes de dados a apenas aquelas consideradas mais lucrativas ou críticas para os negócios foi desenvolvido para acelerar todo o processo de exfiltração de dados, presumivelmente para que os operadores de ameaças possam concluir seus estágios de ataque antes de serem descobertos e interrompidos.

Veja isso
Versão Linux do BlackMatter visa servidores VMware ESXi
Ransomware DarkSide retoma operações como BlackMatter

Depois de recuperar os nomes de todas as unidades lógicas no computador da vítima e coletar todos os nomes dos arquivos, o Exmatter desconsidera coisas em diretórios específicos como “C:\Documents and Settings”. Ele exfiltra apenas tipos de arquivo específicos, como PDFs, documentos do Word, planilhas e PowerPoints, e visa priorizá-los para exfiltração usando o LastWriteTime. Assim que a exfiltração é concluída, o Exmatter procura sobrescrever e excluir quaisquer vestígios de si mesmo do computador da vítima.

A Symantec disse que encontrou várias versões da ferramenta, indicando que seus desenvolvedores tentaram refinar sua funcionalidade para acelerar o processo de roubo de dados na medida do possível. Os pesquisadores da empresa afirmaram que o BlackMatter está ligado ao grupo de cibercrimes Coreid, que também pode ter sido responsável pelo Darkside, a variante que levou à interrupção da Colonial Pipeline no início de maio. No entanto, não está claro se o Exmatter foi desenvolvido por este grupo ou por um dos muitos afiliados que usam o BlackMatter em ataques.

As autoridades dos EUA emitiram um alerta sobre a BlackMatter em meados de outubro, depois que que ele começou a visar fornecedores de infraestrutura crítica.

Compartilhar:

Últimas Notícias

Parabéns, você já está cadastrado para receber diariamente a Newsletter do CISO Advisor

Por favor, verifique a sua caixa de e-mail: haverá uma mensagem do nosso sistema dando as instruções para a validação de seu cadastro. Siga as instruções contidas na mensagem e boa leitura. Se você não receber a mensagem entre em contato conosco pelo “Fale Conosco” no final da homepage.

ATENÇÃO: INCLUA [email protected] NOS CONTATOS DE EMAIL

(para a newsletter não cair no SPAM)