Un nouvel outil ransomware utilise des tactiques uniques pour corrompre les données
Les acteurs de la menace mettent actuellement à jour l'outil d'exfiltration de données Exmatter avec une fonction unique de corruption des données, que les attaquants pourraient changer pour mener des attaques de ransomware à l'avenir.
La nouvelle fonction unique de corruption des données a été découverte par des analystes de logiciels malveillants travaillant avec l'équipe des opérations spéciales de Cyderes lors d'une récente intervention sur incident.
En gros, cette tactique consiste à utiliser les données d'un fichier exfiltré pour endommager un autre fichier. Les chercheurs en sécurité pensent qu'il s'agit d'une tentative de contourner la détection heuristique des ransomwares ou des wipers, qui pourrait être déclenchée en cas d'utilisation de données générées de manière aléatoire.
"Au fur et à mesure que les fichiers sont téléchargés sur le serveur contrôlé par l'acteur, les fichiers qui ont été copiés avec succès sur le serveur distant sont mis en file d'attente pour être traités par une classe nommée Eraser. Un segment de taille aléatoire commençant au début du deuxième fichier est lu dans un tampon puis écrit au début du premier fichier, l'écrasant et corrompant le fichier".
Les chercheurs pensent que ce nouvel outil va modifier la stratégie utilisée par les affiliés de ransomware. Les opérations de ransomware fonctionnent depuis longtemps sous la forme de Ransomware-as-a-Service, ce qui signifie que les opérateurs/développeurs sont responsables du développement du ransomware, du site de paiement et de la gestion des négociations, tandis que les affiliés se joignent à eux pour casser les réseaux d'entreprise, voler des données, supprimer les sauvegardes et chiffrer les appareils.
Toutefois, cette structure désavantage les affiliés. Les opérations de ransomware introduisent des bogues qui permettent aux chercheurs en sécurité de créer des décrypteurs qui peuvent aider les victimes à récupérer des fichiers gratuitement.
Bien que l'accord de paiement signifie que les opérateurs de ransomware reçoivent entre 15 et 30 %, tandis que les affiliés reçoivent le reste, les affiliés perdent, dans les cas où les chercheurs en sécurité créent un décrypteur, tous les revenus potentiels, qu'ils auraient reçus dans le cadre d'un paiement de rançon.
Toutefois, avec la nouvelle fonction de corruption des données, on pourrait passer des attaques traditionnelles de ransomware, dans lesquelles les données sont volées puis cryptées, à des attaques dans lesquelles les données sont volées puis supprimées ou endommagées.
Cette méthode permet aux affiliés de conserver tous les revenus d'une attaque puisqu'ils n'ont pas à partager un pourcentage avec le développeur du cryptage.
Les sources de cet article comprennent un article de BleepingComputer.