Neues Ransomware-Tool nutzt einzigartige Taktik, um Daten zu beschädigen
Bedrohungsakteure aktualisieren jetzt das Datenexfiltrationstool Exmatter mit einer einzigartigen Datenkorruptionsfunktion, die Angreifer in Zukunft für Ransomware-Angriffe nutzen könnten.
Die neue, einzigartige Funktion zur Datenbeschädigung wurde von Malware-Analysten, die mit dem Cyderes Special Operations Team zusammenarbeiten, während einer kürzlichen Reaktion auf einen Vorfall entdeckt.
Bei dieser Taktik werden im Wesentlichen Daten aus einer exfiltrierten Datei verwendet, um eine andere Datei zu beschädigen. Sicherheitsforscher glauben, dass dies ein Versuch ist, die heuristische Erkennung von Ransomware oder Wiper zu umgehen, die ausgelöst werden könnte, wenn zufällig generierte Daten verwendet werden.
"Beim Hochladen von Dateien auf den von einem Akteur kontrollierten Server werden die Dateien, die erfolgreich auf den entfernten Server kopiert wurden, in eine Warteschlange gestellt, um von einer Klasse namens Eraser verarbeitet zu werden. Ein Segment zufälliger Größe, das am Anfang der zweiten Datei beginnt, wird in einen Puffer eingelesen und dann an den Anfang der ersten Datei geschrieben, wodurch diese überschrieben und die Datei beschädigt wird.
Die Forscher glauben, dass das neue Tool die Strategie der Ransomware-Affiliates verändern wird. Ransomware-Operationen laufen seit langem als Ransomware-as-a-Service, was bedeutet, dass die Betreiber/Entwickler für die Entwicklung der Ransomware, die Bezahlseite und die Abwicklung der Verhandlungen verantwortlich sind, während sich die Partner anschließen, um Unternehmensnetzwerke zu knacken, Daten zu stehlen, Backups zu löschen und Geräte zu verschlüsseln.
Diese Struktur ist für die Partner jedoch von Nachteil. Ransomware-Operationen führen Fehler ein, die es Sicherheitsforschern ermöglichen, Entschlüsselungsprogramme zu erstellen, die den Opfern helfen können, Dateien kostenlos wiederherzustellen.
Obwohl die Zahlungsvereinbarung bedeutet, dass die Ransomware-Betreiber zwischen 15 und 30 % erhalten, während die Partner den Rest bekommen, verlieren die Partner in den Fällen, in denen Sicherheitsforscher einen Entschlüsseler entwickeln, alle potenziellen Einnahmen, die sie als Teil einer Lösegeldzahlung erhalten hätten.
Mit der neuen Funktion zur Datenbeschädigung könnte es jedoch zu einer Verlagerung von herkömmlichen Ransomware-Angriffen, bei denen Daten gestohlen und anschließend verschlüsselt werden, zu Angriffen kommen, bei denen Daten gestohlen und anschließend gelöscht oder beschädigt werden.
Diese Methode ermöglicht es den Partnern, alle Einnahmen aus einem Angriff zu behalten, da sie keinen Anteil mit dem Entwickler der Verschlüsselung teilen müssen.
Zu den Quellen für diesen Beitrag gehört ein Artikel in BleepingComputer.