martedì 27 settembre 2022

Il ransomware BlackCat aggiunge una nuova funzionalità che distrugge i dati dopo averli rubati


Pessima notizia che potrebbe segnare un cambio di passo nelle strategie ransomware: è stata individuata in diffusione una versione di BlackCat che, una volta rubati i dati, non cripta quelli rimasti nella macchina, ma li distrugge. Dopo il modello del Ransomware as a service, dei leak site e della tripla estorsione, siamo di fronte all'ennesima evoluzione del mondo ransomware? 

BlackCat "sposa Exmatter", il modulo distruggi-dati

La nuova versione di BlackCat che distrugge i dati è stata individuata dalla società di sicurezza informatica Cyderes. La particolarità di questa versione è quella di portare con sé, oltre alle classiche funzionalità di esfiltrazione dei dati, anche un modulo chiamato Exmatter. 

Exmatter è un tool di esfiltrazione dati in .NET  ed è sviluppato per prendere alcuni tipi specifici di file da cartelle selezionate e caricarli in server controllati dagli attaccanti, prima che il ransomware entri in esecuzione e avvii la routine di criptazione. Va detto, è già usato da molte operazioni ransomware, non solo BlackCat. Il punto è che il gruppo BlackCat lo utilizza in una maniera del tutto nuova. 

Questa versione di Exmatter infatti tenta di corrompere i file nel sistema bersaglio anzichè criptarli: in pratica li mette in fila per distruggerli. Infatti, la prima operazione compiuta da Exmatter è quella di generare la coda dei file rispondenti ad una lista di estensioni bersaglio: questa lista è "hard-coded" nel tool stesso. La coda viene composta proprio mettendo in fila tutti i file con le estensioni target. Questi file vengono quindi esfiltrati verso server controllati dagli attaccanti. Una volta esfiltrati, i dati sono aggiungi in una nuova coda per essere processati da una classe che si chiama Eraser. In dettaglio un segmento di dati di dimensioni arbitrarie che inizia all'inizio del secondo file viene letto in un buffer, quindi scritto all'inizio del primo file: in pratica viene sovrascritto e danneggiato. 

Per approfondire > L'università di Pisa colpita dal ransomware BlackCat. Il gruppo BlackCat inaugura una nuova tecnica estorsiva


Ulteriori analisi hanno individuati altri dettagli

I ricercatori di Stairwell Threat Researchers hanno effettuato ulteriori ricerche su Exmatter: per prima cosa hanno sottolineato come una tale tecnica, ovvero usare i dati da un file estratto per corrompere un altro file, potrebbe essere un tentativo innovativo di eludere rilevamento e analisi euristica. Altre info utili sono che:

  • Exmatter non prevede meccanismi di rimozione dei file dalla coda. Il rischio è che alcuni file vengano sovrascritti molte volte e altri invece potrebbero non essere mai selezionati per l'elaborazione;
  • la funzione correlata alla classe Erase non è ancora del tutto implementata e presenta, al momento, perfino un bug di implementazione. 

Insomma ad ora la funzionalità di danneggiamento dei dati è ancora in via di test / implementazione. Questa funzionalità ha però tutte le "carte in regola" per affermarsi come nuova prassi per gli attacchi ransomware: non più file rubati, quindi criptati ma file rubati quindi eliminati / danneggiati. Una tale evoluzione infatti mette gli attaccanti al riparo dal rischio che le vittime riescano a individuare un sistema per decriptare i dati, rendendo più difficile ottenere da loro il pagamento del riscatto. 


BlackCat come Maze si fa capofila dell'evoluzione delle famiglie ransomware

BlackCat non è affatto nuovo a presentare innovazioni. Ad esempio è uno dei primi ransomware multi-piattaforma scritto nel linguaggio Rust. Oltre ad Exmatter, usa un altro modulo infostealer pericolosissimo: si chiama Eamfo e ha un solo scopo, vvero rubare le password dei backup di Veeam e dei database SQL, decriptandole e ottenendole in chiaro. 


Nessun commento:

Posta un commento