Veszélyes új módszer jelent meg a zsarolóvírusok körében

A kiberbűnözők folyamatosan új támadási technikákon dolgoznak, nincs ez másként a zsarolóvírus csoportokkal sem. A Cyderes Special Operations és a Stairwell Threat Research kutatói fedezték fel az Exmatter nevű, .NET-ben íródott exfiltrációs programot, amelyet a BlackCat/ALPHV zsarolóvírus támadások során figyeltek meg.

Az Exmatter egyrészt lehetővé teszi, hogy a támadók előre meghatározott fájltípusokat szivárogtassanak ki, még mielőtt a fájlokat tikosító kódot futtatnák a megtámadott rendszeren, másrészt egy meglehetősen „energiahatékony” taktikát is bevezet: titkosítás helyett inkább megrongálja a fájlokat.

A kártevő első lépésben bejárja az áldozat gépén felcsatolt háttértárak teljes könyvtárszerkezetét, és létrehoz egy fájlsort (queue) a készítők által megadott kiterjesztések alapján. Ezután a kiválasztott fájlok sorban felmásolódnak a támadó szerverére, majd egy Eraser nevű osztály feldolgozza őket, és egy véletlenszerűen kiválasztott fájl elejéről, véletlenszerű méretű szegmenssel felülírja egy másik fájl elejét, így megrongálva azt. Ez a módszer ─ mivel legitim adatokkal végzi a felülírást ─  ráadásul azt is lehetővé teszi a hackerek számára, hogy kikerüljék a zsarolóprogramok vagy a wiperek heurisztikán alapuló észlelését.

Kattintson a képre a megtekintésért!

A kutatók által részletezett új adatkárosító taktika egy új, veszélyes trendet indíthat el a zsarolóvírus csoportok között.

(securityaffairs.co)