Según publica el portal Ituser.es un nuevo informe revela el análisis de un malware similar a Exmatter. Exmatter es una herramienta de exfiltración basada en .NET que suelen utilizar los afiliados al ransomware BlackCat/ALPHV.
Sin embargo, en esta versión de la herramienta, el atacante intenta corromper los archivos del sistema de la víctima tras la exfiltración, en lugar de cifrarlos como es habitual.
«En primer lugar, el malware recorre las unidades de la máquina de la víctima, generando una cola de archivos que coinciden con una lista codificada de extensiones designadas. Los archivos que coinciden con esas extensiones de archivo se añaden a la cola para la exfiltración, que luego se escriben en una carpeta con el mismo nombre que el nombre de host de la máquina de la víctima en el servidor controlado por el actor», explica el informe.
«A medida que los archivos se cargan en el servidor controlado por el actor, los archivos que se han copiado con éxito en el servidor remoto se ponen en cola para ser procesados por una clase llamada ‘Eraser’. Un segmento de tamaño aleatorio que comienza en el principio del segundo archivo se lee en un búfer y luego se escribe en el principio del primer archivo, sobrescribiéndolo y corrompiendo el archivo.»
Los afiliados al ransomware adoptan la destrucción de datos
El uso de estas tácticas tiene varias ventajas para el grupo afiliado.
En primer lugar, el uso de datos de archivos legítimos para corromper otros archivos puede parecer más «plausiblemente benigno» para las herramientas de seguridad y, por tanto, ayuda a eludir la detección basada en la heurística para el ransomware y los wipers.
En segundo lugar, si el grupo es capaz de exfiltrar todos los archivos de una víctima y luego corromper los existentes, tiene más poder de negociación a la hora de extorsionar. Significa que los afiliados tienen la única copia restante, y no tendrían que pagar a los desarrolladores del ransomware una parte del rescate, ya que no se utiliza el cifrado.
En tercer lugar, no tienen que preocuparse por las vulnerabilidades del propio código del ransomware, que podrían permitir a los defensores construir herramientas de descifrado.
«Con una copia tan robusta de los datos de la empresa víctima recopilados, cifrar los mismos archivos en el disco se convierte en una tarea redundante y de mucho desarrollo en comparación con la destrucción de los datos», argumentan los autores.
«Estos factores culminan en un caso justificado para que los afiliados abandonen el modelo RaaS y se lancen por su cuenta, sustituyendo el ransomware de desarrollo intensivo por la destrucción de datos».
