0
0
Gangues de ransomware estão planejando experimentar uma nova tática, que envolve a destruição dos dados das vítimas.
Segmentação dos dados
Pesquisadores da Symantec , Cyderes e Stairwell analisaram recentemente uma nova versão da ferramenta de exfiltração de dados Exmatter e identificaram um novo recurso: corrupção de dados.
Usado em conjunto com o ransomware ALPHV multiplataforma (também conhecido como BlackCat, também conhecido como Noberus), este exemplo do Exmatter pega tipos de arquivos específicos de diretórios selecionados e os carrega para servidores controlados por invasores. Então, antes que o ransomware seja executado, ele os corrompe.
“Os arquivos que foram copiados com sucesso para o servidor remoto são enfileirados para serem processados por uma classe chamada Eraser. Um segmento de tamanho aleatório começando no início do segundo arquivo é lido em um buffer e, em seguida, gravado no início do primeiro arquivo, substituindo-o e corrompendo o arquivo”, explicaram os pesquisadores do Cyderes .
Mas, de acordo com Daniel Mayer, pesquisador de ameaças da Stairwell, a capacidade ainda está sendo desenvolvida e pode não funcionar como pretendido.
“Não há mecanismo para remover arquivos da fila de corrupção, o que significa que alguns arquivos podem ser substituídos várias vezes antes que o programa termine, enquanto outros podem nunca ter sido selecionados”, explicou .
Além disso, “A função que instancia a classe Eraser, chamada Erase, não parece estar totalmente implementada e não descompila corretamente.”
Por que as gangues de ransomware estão pensando em destruir os dados das vítimas?
Podemos estar testemunhando o início de uma nova mudança na forma como as gangues de ransomware visam forçar as vítimas a pagar.
Primeiro, havia o chamado ransomware da polícia (ou armários) , que muitas vezes não criptografava arquivos no dispositivo infectado, mas apenas bloqueava sua tela e pedia dinheiro para ser pago à “polícia”.
Ransomware com recursos de criptografia seguidos e, em seguida, veio:
- Extorsão dupla (criptografia + exfiltração de dados e ameaça de vazamento de dados, seja na dark web ou na internet pública )
- Extorsão tripla (criptografia + exfiltração de dados e ameaça de vazamento de dados + ataque DDoS destinado a interromper os serviços dos alvos)
- A abordagem sem criptografia + oferta para compartilhar informações sobre como o alvo foi violado
Essa abordagem mais recente de corromper dados e pedir dinheiro para devolvê-los à vítima pode funcionar em alguns casos, especialmente se a organização da vítima não tiver um bom plano para se recuperar da perda de dados ou não seguir as práticas recomendadas de backup de dados.
Mas, segundo Mayer, essa abordagem tem outras vantagens.
“Criar ransomware estável e robusto é um processo de desenvolvimento muito mais intensivo do que criar malware projetado para corromper os arquivos, alugando um grande servidor para receber arquivos exfiltrados e devolvê-los mediante pagamento”, observou ele.
Além disso, se os dados forem destruídos nos sistemas das vítimas, os invasores terão a única cópia dos arquivos da vítima. Os arquivos não podem ser restaurados ou descriptografados devido a falhas exploráveis no ransomware.
Por fim, “para cada pagamento extorquido recebido, o operador reteria 100% do pagamento do resgate, em vez de pagar uma porcentagem aos desenvolvedores do RaaS”.
Resta saber se essas vantagens vão de ransomware a roubo e destruição de dados – para alguns invasores, pelo menos.
FONTE: HELPNET SECURITY