Хакеры нашли эффективный способ вымогательства, гораздо практичнее шифрования
smartmoney.oneОператоры шифровальщика BlackCat стали дополнять атаки новым вредоносом, который вместо шифрования выводит копии файлов и незаметно, но безнадежно портит оригиналы. Порча вместо шифрованияКибервымогатели начали использовать новый вредонос под названием Exmatter.К настоящему времени его чаще всего задействуют в связке с шифровальщиком BlackCat/ALPHV.
Считается, что этим шифровальщиком пользуются многочисленные аффилиаты разных RaaS-группировок, в том числе BlackMatter.Exmatter (уже название которого намекает на связь с BlackMatter) позволяет операторам выкрадывать из скомпрометированных сетей файлы конкретных типов из заданных каталогов, прежде чем запускается собственно шифровальщик или файлы фактически уничтожаются.Проанализированный экспертами компаний Cyderes и Stairwell сэмпл снабжен деструктивным модулем, который пытается повредить содержимое файлов, а не зашифровать их.То есть, речь идет о функциональности вайпера.Как выяснили эксперты, после выгрузки файлов, интересующих злоумышленников, на удаленный сервер, запускается деструктивная функция: случайно выбранный сегмент каждого следующего файла в очереди копируется в буфер и записывается в начало предыдущего файла, перекрывая исходное содержимое и тем самым нарушая его целостность.Новый инструмент кибервымогательства перезаписывает фрагменты одних файлов в другиеТакой алгоритм позволяет вредоносу избегать реакции со стороны защитных средств на базе эвристических алгоритмов, которые определяют шифровальщики и вайперы по поведению.Кроме того, копирование данных из одного файла в другой также выглядит куда более невинно, чем перезапись файлов случайными данными или шифрование.Надежно и практичноЭксперты отметили, что разработка стабильного шифровальщика — куда