Новости Хакеры нашли эффективный способ вымогательства, гораздо практичнее шифрования

Специальный корреспондент
Собака

Собака

Пресс-служба
Команда форума
Private Club
Регистрация
13/10/15
Сообщения
54.923
Репутация
62.740
Реакции
277.130
RUB
0
Операторы шифровальщика BlackCat стали дополнять атаки новым вредоносом, который вместо шифрования выводит копии файлов и незаметно, но безнадежно портит оригиналы.






Порча вместо шифрования


Кибервымогатели начали использовать новый под названием Exmatter. К настоящему времени его чаще всего задействуют в связке с шифровальщиком BlackCat/ALPHV. Считается, что этим шифровальщиком пользуются многочисленные аффилиаты разных RaaS-группировок, в том числе BlackMatter.


Exmatter (уже название которого намекает на связь с ) позволяет выкрадывать из скомпрометированных сетей файлы конкретных типов из заданных каталогов, прежде чем запускается собственно или файлы фактически уничтожаются.


Проанализированный экспертами компаний Cyderes и Stairwell сэмпл снабжен деструктивным модулем, который пытается повредить содержимое файлов, а не зашифровать их. То есть, речь идет о функциональности вайпера.


Как выяснили эксперты, после выгрузки файлов, интересующих злоумышленников, на , запускается деструктивная функция: случайно выбранный сегмент каждого следующего файла в очереди копируется в буфер и записывается в начало предыдущего файла, перекрывая исходное содержимое и тем самым нарушая его целостность.


hake_600.jpg

Новый инструмент кибервымогательства перезаписывает фрагменты одних файлов в другие

Такой алгоритм позволяет вредоносу избегать реакции со стороны защитных средств на базе эвристических алгоритмов, которые определяют шифровальщики и вайперы по поведению. Кроме того, копирование данных из одного файла в другой также выглядит куда более невинно, чем перезапись файлов случайными данными или шифрование.


[H2]Надежно и практично[/H2]

Эксперты отметили, что разработка стабильного шифровальщика — куда более затратное предприятие, чем создание программы, которая будет повреждать файлы и предлагать для их восстановления выведенные ранее копии.


«К тому же это будет намного быстрее работать, — говорит , директор по информационной безопасности компании . — На уходит больше вычислительных ресурсов, чем на банальную порчу данных, да и к тому же, если иногда ошибки в шифровальщиках позволяют рзблокировать файлы, не выплачивая выкуп, то в случаях, когда речь идет о порче файлов, расшифровывать тут нечего. Если должным образом не налажено, остается только надеяться получить копии тех же файлов от и на их условиях».


Эксперты Cyderes и Stairwell указывают, что деструктивная функция Exmatter, судя по всему, еще не готова до конца. Например, сегмент файла, которым перезаписывается фрагмент другого, имеет произвольные размеры — вплоть до одного байта; механизм изъятия файлов из очереди на «порчу» не реализован, так что некоторые файлы могут быть повреждены несколько раз, другие — остаться целыми.


Тем не менее, Exmatter — это иллюстрация нового и более практичного подхода к кибервымогательству, так что не исключено, что этот метод будет взят на вооружение многими группировками.






 
Сверху Снизу