Skip to content

It corrupts them données plutôt que les chiffrer, dernière martingale des pirates

The corruption of information is quicker, most of the time, and extra inclined to artwork by the safety instruments of the terminals than by the chiffrer. Les cyberpirates n’hsitent plus privilgier cette approach par rapport au chiffrement.

The ransomwares ont started to be répandre comme des croqueries amenant les utilisateurs étaient amenés à payer des amendes fictives pour avoir prétendument I adopted an unlawful conduct on-line. Voire dans des cas plus grave, ont été victims of sextorsion avec des compromising movies prizes by way of leurs webcams par des logiciels malveillants. The risk after largement traced sa route, passant des consommateurs aux entreprises, ajoutant de la fuete de données et parfois du blackmail par déni de service distribué (DDoS). The assaults are due in the event that they repand that they touchent disormais all of the forms of organizations et même des gouvernements nationaux entiers. Les groupes cybercriminels derrière eux sont bien organisés, sophisticés et même innovants, proposant toujours de nouvelles strategies d’extorsion qui pourraient leur rapporter plus d’argent. Extra parfois, la meilleure façon d’obtenir quelque selected n’est pas la complexité mais la simplification et cela semble être le cas dans les dernières attaques noticed por les chercheurs des sociétés de sécurité Stairwell et Cyderes où des acteurs de rançongiciels connus ont choisi de I’ll destroy the information au lieu de les chiffrer.

Cyderes was concerned in a latest assault involving a malicious actor who was affiliated with the BlackCat/ALPHV ransomware-as-a-service (RaaS) operation. The chercheurs ont discovered an exfiltration device of données appelé Exmatter connu pour être utilisé por los affilias de BlackCat et BlackMatter. The RaaS associates are people or teams of pirates who’re launched by organizations, which can end in ransom. Les opérateurs de ransomware prennent le relais et handle la négociación de la rançon avec la victime, les directions de paiement et le decryptage des données. Associates are essentiellement des sous-traitants externes pour les opérateurs RaaS. Ces dernières années, il est devenu courant pour les associates de doubler et de voler des données d’entreprises commitments along with the chiffrer. Ils menacent ensuite de les publier ou de les vendre. Cela started with an different methodology to drive the cost of a ransom, however the extortion of funds from données may be produced with out the ransomware composant. Exmatter is a device written in .NET that permits attackers to research the readers of the sufferer’s pc within the search of information with sure extensions, as a result of the downloaders are a server managed by the attacker in a singular repertoire created for chaque sufferer. The utility learns to cost extra strategies of exfiltration, notation FTP, SFTP and webDAV.

L’util d’exfiltration de données Exmatter fait peau neuve

Cyderes despatched the Chantillon Exmatter that he discovered on his cours de leur question to Stairwell for a supplementary evaluation, which decided that there are new functionalities to report on different variations. “There’s a class outlined by the chantillon named Eraser conçue pour s’executer en identical temps que la routine Sync”, ont declaré les chercheurs de Stairwell dans un rapport. «Alors que Sync telecharge des fichiers sur le serveur contrôlé por l’acteur, il ajoute des fichiers que ont été accurately copié sur le serveur distant dans une file d’attente de fichiers à traiter par Eraser». The truth that the Eraser operate is used to load deux random information from the record in reminiscence, you may copy a random morceau du deuxième fichier au début du premier fichier en écrasant son contenu d’origine. Cela n’efface pas techniquement le fichier mais le corrupt plutôt. The chercheurs thought that this operate is toujours in cours de développement automobile la commande que appelle la operate Eraser n’est pas encore entièrement imlémentée et le code de la operate current encore quelques inefficacités. That is the place the chosen pad of données is random, and it is likely one of the three small ones, which makes sure information extra recoverable than others. As well as, the information should not faraway from the file d’attente après avoir été écrasés, which implies that the processus peut être répété plusieurs fois sur le même file.

Corruption des données Vs cryptage

Pourquoi detruire des fichiers en les écrasant avec des données aléatoires au lieu de déployer un rançongiciel pour les chiffrer? À première vue, cela ressemble à des opérations de manipulation de fichiers. Le cryptage d’un fichier implique de la reécriture de données, un bloc à la fois, avec des données d’apparence aléatoire. Cependant, there are methods to detect these operations of chiffrement lorsqu’elles are effectuées en grande succession et de nombreuses options d’EDR peuvent désormais detecter ce conduct et peuvent l’arrêter. Pendant ce temps, le kind d’écrasement de fichiers effectué par Exmatter est beaucoup plus subtil. « Le fait d’utiliser des données de fichiers légitimes d’un système cible pour corrupte d’different fichiers peut être une approach pour éviter la detection heuristique des ransomwares et effaceurs de données, automobile la copie d’un fichier à un different est une Performance properly plus benigne than l’écrasement séquentiel. Des fichiers avec des données aléatoires ou en les cryptant », ont I defined les chercheurs de Stairwell.

One different purpose is that the encryption of the information is one that’s extra intensive than that of the time. Il est également beaucoup plus difficile et coûteux de mettre en œuvre des packages de cryptage de fichiers – ce que sont essentiellement les ransomwares – sans bugs ni defauts que les chercheurs pourraient exploiter pour inversor le cryptage. Il ya eu de nombreux cas au fil des ans où les chercheurs ont trouvé des faiblesses dans les implementations de chiffrement des ransomwares et ont pu publier des decrypteurs. C’est ce qui est arrivé à BlackMatter, l’opération RaaS à laquelle l’util Exmatter était initialement associé. « With the exfiltration of données desormais la norme parmi les acteurs de la menace, develop a secure, safe and fast rançongiciel pour chiffrer les fichiers est une entreprise rondante et coûteuse par rapport à la corruption de fichiers et à l’utilisation des copies exfiltrées comme moyen de récupération des données », ont declaré des chercheurs de Cyderes dans un avis. Relaxation à voir s’il s’agit d’un début de tendance où les associates de ransomwares passent à la destruction des données au lieu du cryptage, s’assurant que la seule copie est en leur possesion. Both it is simply an remoted incident or BlackMatter/BlackCat associates veulent éviter les erreurs de le passé. Cependant, le vol de données et les assaults d’extortion indicate the destruction and sont pas nouveaux et se sont répandus aux environnements des bases de données cloud. The attackers ont additionally touched the non-protected S3 buckets, the MongoDB databases, the Redis situations, the ElasticSearch index pendants, supprimant leur contenu et laissant derrière eux des rançon. Il ne serait donc pas surprenant de voir également ce mouvement s’étendre aux systèmes sur website.

Leave a Reply

Your email address will not be published.