Операторы шифровальщика BlackCat стали дополнять атаки новым вредоносом, который вместо шифрования выводит копии файлов и незаметно, но безнадежно портит оригиналы.
Порча вместо шифрования
Кибервымогатели начали использовать новый вредонос под названием Exmatter. К настоящему времени его чаще всего задействуют в связке с шифровальщиком BlackCat/ALPHV. Считается, что этим шифровальщиком пользуются многочисленные аффилиаты разных RaaS-группировок, в том числе BlackMatter.
Exmatter (уже название которого намекает на связь с BlackMatter) позволяет операторам выкрадывать из скомпрометированных сетей файлы конкретных типов из заданных каталогов, прежде чем запускается собственно шифровальщик или файлы фактически уничтожаются.
Проанализированный экспертами компаний Cyderes и Stairwell сэмпл снабжен деструктивным модулем, который пытается повредить содержимое файлов, а не зашифровать их. То есть, речь идет о функциональности вайпера.
Как выяснили эксперты, после выгрузки файлов, интересующих злоумышленников, на удаленный сервер, запускается деструктивная функция: случайно выбранный сегмент каждого следующего файла в очереди копируется в буфер и записывается в начало предыдущего файла, перекрывая исходное содержимое и тем самым нарушая его целостность.
Новый инструмент кибервымогательства перезаписывает фрагменты одних файлов в другие
Такой алгоритм позволяет вредоносу избегать реакции со стороны защитных средств на базе эвристических алгоритмов, которые определяют шифровальщики и вайперы по поведению. Кроме того, копирование данных из одного файла в другой также выглядит куда более невинно, чем перезапись файлов случайными данными или шифрование.
Надежно и практично
Эксперты отметили, что разработка стабильного шифровальщика — куда более затратное предприятие, чем создание программы, которая будет повреждать файлы и предлагать для их восстановления выведенные ранее копии.
«К тому же это будет намного быстрее работать, — говорит Анастасия Мельникова, директор по информационной безопасности компании SEQ. — На шифрование уходит больше вычислительных ресурсов, чем на банальную порчу данных, да и к тому же, если иногда ошибки в шифровальщиках позволяют рзблокировать файлы, не выплачивая выкуп, то в случаях, когда речь идет о порче файлов, расшифровывать тут нечего. Если резервное копирование должным образом не налажено, остается только надеяться получить копии тех же файлов от злоумышленников и на их условиях».
Эксперты Cyderes и Stairwell указывают, что деструктивная функция Exmatter, судя по всему, еще не готова до конца. Например, сегмент файла, которым перезаписывается фрагмент другого, имеет произвольные размеры — вплоть до одного байта; механизм изъятия файлов из очереди на «порчу» не реализован, так что некоторые файлы могут быть повреждены несколько раз, другие — остаться целыми.
Тем не менее, Exmatter — это иллюстрация нового и более практичного подхода к кибервымогательству, так что не исключено, что этот метод будет взят на вооружение многими группировками.
