ClickCease Un nouvel outil ransomware utilise des tactiques uniques pour corrompre les données

Rejoignez notre populaire bulletin d'information

Rejoignez 4 500+ professionnels de Linux et de l'Open Source !

2 fois par mois. Pas de spam.

Un nouvel outil ransomware utilise des tactiques uniques pour corrompre les données

6 octobre 2022 - L'équipe de relations publiques de TuxCare

Les acteurs de la menace mettent actuellement à jour l'outil d'exfiltration de données Exmatter avec une fonction unique de corruption des données, que les attaquants pourraient changer pour mener des attaques de ransomware à l'avenir.

La nouvelle fonction unique de corruption des données a été découverte par des analystes de logiciels malveillants travaillant avec l'équipe des opérations spéciales de Cyderes lors d'une récente intervention sur incident.

En gros, cette tactique consiste à utiliser les données d'un fichier exfiltré pour endommager un autre fichier. Les chercheurs en sécurité pensent qu'il s'agit d'une tentative de contourner la détection heuristique des ransomwares ou des wipers, qui pourrait être déclenchée en cas d'utilisation de données générées de manière aléatoire.

"Au fur et à mesure que les fichiers sont téléchargés sur le serveur contrôlé par l'acteur, les fichiers qui ont été copiés avec succès sur le serveur distant sont mis en file d'attente pour être traités par une classe nommée Eraser. Un segment de taille aléatoire commençant au début du deuxième fichier est lu dans un tampon puis écrit au début du premier fichier, l'écrasant et corrompant le fichier".

Les chercheurs pensent que ce nouvel outil va modifier la stratégie utilisée par les affiliés de ransomware. Les opérations de ransomware fonctionnent depuis longtemps sous la forme de Ransomware-as-a-Service, ce qui signifie que les opérateurs/développeurs sont responsables du développement du ransomware, du site de paiement et de la gestion des négociations, tandis que les affiliés se joignent à eux pour casser les réseaux d'entreprise, voler des données, supprimer les sauvegardes et chiffrer les appareils.

Toutefois, cette structure désavantage les affiliés. Les opérations de ransomware introduisent des bogues qui permettent aux chercheurs en sécurité de créer des décrypteurs qui peuvent aider les victimes à récupérer des fichiers gratuitement.

Bien que l'accord de paiement signifie que les opérateurs de ransomware reçoivent entre 15 et 30 %, tandis que les affiliés reçoivent le reste, les affiliés perdent, dans les cas où les chercheurs en sécurité créent un décrypteur, tous les revenus potentiels, qu'ils auraient reçus dans le cadre d'un paiement de rançon.

Toutefois, avec la nouvelle fonction de corruption des données, on pourrait passer des attaques traditionnelles de ransomware, dans lesquelles les données sont volées puis cryptées, à des attaques dans lesquelles les données sont volées puis supprimées ou endommagées.

Cette méthode permet aux affiliés de conserver tous les revenus d'une attaque puisqu'ils n'ont pas à partager un pourcentage avec le développeur du cryptage.

Les sources de cet article comprennent un article de BleepingComputer.

Résumé
Un nouvel outil ransomware utilise des tactiques uniques pour corrompre les données
Nom de l'article
Un nouvel outil ransomware utilise des tactiques uniques pour corrompre les données
Description
Les acteurs de la menace mettent désormais à jour l'outil d'exfiltration de données Exmatter avec une fonction unique de corruption des données qui permet leur destruction.
Auteur
Nom de l'éditeur
Tuxcare
Logo de l'éditeur

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Découvrez le Live Patching avec TuxCare

Devenez rédacteur invité de TuxCare

Commencer

Courrier

Rejoindre

4,500

Professionnels de Linux et de l'Open Source
!

S'abonner à
notre lettre d'information