- Регистрация
- 26.10.16
- Сообщения
- 2,233
- Онлайн
- 38д 4ч 33м
- Сделки
- 251
- Нарушения
- 0 / 0
Новый образец был обнаружен аналитиками из ИБ-компании Cyderes , а затем передан группе исследования угроз Stairwell для дальнейшего анализа. Exmatter используется аффилированными лицами BlackMatter как минимум с октября 2021 года, но это первый раз, когда Exmatter был замечен с модулем уничтожения данных.
Эксперты из Cyderes заявили, что по мере того, как файлы загружаются на сервер злоумышленника, они ставятся в очередь для обработки классом Eraser. Сегмент произвольного размера, начинающийся в начале второго файла, считывается в буфер, а затем записывается в начало первого файла, перезаписывая его и повреждая файл.
Эта тактика использования данных из одного извлеченного файла для повреждения другого файла может быть попыткой уклониться от обнаружения или эвристического анализа.
Как обнаружили исследователи угроз Stairwell, возможности уничтожения данных Exmatter все еще находятся в разработке, учитывая следующее:
- У Exmatter не существует механизма для удаления файлов из очереди, то есть некоторые файлы могут быть перезаписаны много раз, прежде чем программа завершит работу, а другие, возможно, никогда не будут выбраны для обработки;
- Функция, которая создает экземпляр класса «Erase», реализована не полностью и декомпилируется неправильно. Длина фрагмента второго файла, который используется для перезаписи первого файла, определяется случайным образом и может составлять всего один байт.
При обычном шифровании у злоумышленников есть риск того, что жертва найдет способ расшифровки данных и не заплатит выкуп. Уничтожение конфиденциальных данных после их эксфильтрации на сервер хакера предотвратит это и послужит дополнительным стимулом для жертв платить выкуп, а также отсутствие этапа шифрования ускоряет процесс атаки.
Эти факторы приводят к тому, что аффилированные лица отказываются от RaaS-модели в пользу программ-вымогателей, которые просто уничтожают данные.