Los ataques de ransowmare evolucionan rápido, con nuevas variantes prácticamente cada mes y novedosas herramientas asociadas para ayudar a los ciberdelincuentes a coger la sartén por el mango y poner las cosas más complicadas a las víctimas.
Últimamente algunos investigadores están encontrando que ciertos grupos de ransomware se están sirviendo de la técnica de la corrupción de los datos y dejando de lado la táctica del cifrado.
Esta nueva técnica ha sido identificada en un nuevo ataque de la pandilla de ransomware BlackMatter y analizada por el equipo de Operaciones Especiales de Cyderes y el equipo de investigación de amenazas de Stairwell.
Exmatter, el conocido malware de exfiltración de datos usado por dicho grupo ha sido identificado haciendo uso de esta nueva orientación.
En un principio la herramienta maliciosa se diseñó para extraer archivos del dispositivo de la víctima y cargarlos en el servidor del atacante antes de que se ejecutara el ransomware, pero en esta ocasión el malware corrompió los archivos del sistema comprometido.
“Primero, el malware itera sobre las unidades de la máquina víctima, generando una cola de archivos que coinciden con una lista codificada de extensiones designadas. Los archivos que coinciden con esas extensiones de archivo se agregan a la cola para la exfiltración, que luego se escribe en una carpeta con el mismo nombre que el nombre de host de la máquina víctima en el servidor controlado por el actor de amenazas", explican desde Cyderes.
"A medida que los archivos se cargan en el servidor controlado por el cibermalo, los archivos que se han copiado con éxito en el servidor remoto se ponen en cola para ser procesados por una clase llamada Eraser. Un segmento de tamaño aleatorio que comienza al principio del segundo archivo se lee en un búfer y luego se escribe al principio del primer archivo, sobrescribiéndolo y corrompiéndolo”, añaden.
Desde Stairwell tienen la teoría de que esta nueva finalidad de Exmatter se encuentra aun en desarrollo.
A qué se debe el cambio
Existen varias posibles razones. La corrupción de datos podría ayudar a los cibermalos a eludir el software de seguridad. La detección se evitaría fácilmente si se usan los datos del dispositivo de la víctima para corromper otros archivos.
Además, puede ser una estrategia escogida por los afilados de ransomware. Con esta nueva característica se evitarían recurrir a un desarrollador de cifrado para ejecutar un ataque. Así pueden robar los datos o corromperlos por su cuenta y quedarse todo el dinero del rescate para ellos.
Cuando hay un ataque que usa RaaS (ransomware as a service) lo común es que los que desarrollan el ransomware, el sitio para el pago del rescate y gestionan las negociaciones se queden con un porcentaje que ronda entre el 15 y el 30%, pero así todo va a los afiliados.
La corrupción de datos también funciona como un punto de presión adicional para el objetivo y hace que toda la línea de tiempo del ataque de ransomware sea más rápida a medida que se elimine el paso de cifrado.