Les ransomwares ont commencé à se répandre comme des escroqueries amenant les utilisateurs à payer des amendes fictives pour avoir prétendument adopté un comportement en ligne illégal. Voire dans des cas plus graves, ont été victimes de sextorsion avec des vidéos compromettantes prises via leurs webcams par des logiciels malveillants. La menace a depuis largement tracé sa route, passant des consommateurs aux entreprises, ajoutant de la fuite de données et parfois du chantage par déni de service distribué (DDoS). Les attaques sont devenues si répandues qu'elles touchent désormais tous les types d'organisations et même des gouvernements nationaux entiers. Les groupes cybercriminels derrière eux sont bien organisés, sophistiqués et même innovants, proposant toujours de nouvelles techniques d'extorsion qui pourraient leur rapporter plus d'argent. Mais parfois, la meilleure façon d'obtenir quelque chose n'est pas la complexité mais la simplification et cela semble être le cas dans les dernières attaques observées par les chercheurs des sociétés de sécurité Stairwell et Cyderes où des acteurs de rançongiciels connus ont choisi de détruire les fichiers au lieu de les chiffrer.

Cyderes a enquêté sur une attaque récente impliquant un acteur malveillant soupçonné d'être affilié à l'opération BlackCat/ALPHV ransomware-as-a-service (RaaS). Les chercheurs ont trouvé un outil d'exfiltration de données appelé Exmatter connu pour être utilisé par les affiliés de BlackCat et BlackMatter. Les affiliés RaaS sont des individus ou des groupes de pirates qui s'introduisent dans des organisations, puis déploient le rançongiciel. Les opérateurs de ransomware prennent le relais et gèrent la négociation de la rançon avec la victime, les instructions de paiement et le décryptage des données. Les affiliés sont essentiellement des sous-traitants externes pour les opérateurs RaaS. Ces dernières années, il est devenu courant pour les affiliés de doubler et de voler des données d'entreprises compromises en plus de les chiffrer. Ils menacent ensuite de les publier ou de les vendre. Cela a commencé comme une autre méthode pour forcer le paiement d'une rançon, mais l'extorsion de fuites de données peut également se produire d'elle-même sans le composant ransomware. Exmatter est un outil écrit en .NET qui permet aux attaquants d'analyser les lecteurs de l'ordinateur victime à la recherche de fichiers avec certaines extensions, puis de les télécharger sur un serveur contrôlé par l'attaquant dans un répertoire unique créé pour chaque victime. L'outil prend en charge plusieurs méthodes d'exfiltration, notamment FTP, SFTP et webDAV.

L'outil d'exfiltration de données Exmatter fait peau neuve

Cyderes a envoyé l'échantillon Exmatter qu'ils ont trouvé au cours de leur enquête à Stairwell pour une analyse supplémentaire, qui a déterminé qu'il existait de nouvelles fonctionnalités par rapport aux autres versions. « Il existe une classe définie dans l'échantillon nommé Eraser conçue pour s'exécuter en même temps que la routine Sync », ont déclaré les chercheurs de Stairwell dans un rapport. « Alors que Sync télécharge des fichiers sur le serveur contrôlé par l'acteur, il ajoute des fichiers qui ont été correctement copié sur le serveur distant dans une file d'attente de fichiers à traiter par Eraser ». La façon dont la fonction Eraser fonctionne est qu'elle charge deux fichiers aléatoires de la liste en mémoire, puis copie un morceau aléatoire du deuxième fichier au début du premier fichier en écrasant son contenu d'origine. Cela n'efface pas techniquement le fichier mais le corrompt plutôt. Les chercheurs pensent que cette fonctionnalité est toujours en cours de développement car la commande qui appelle la fonction Eraser n'est pas encore entièrement implémentée et le code de la fonction présente encore quelques inefficacités. Étant donné que le bloc de données sélectionné est aléatoire, il peut parfois être très petit, ce qui rend certains fichiers plus récupérables que d'autres. De plus, les fichiers ne sont pas retirés de la file d'attente après avoir été écrasés, ce qui signifie que ce processus peut être répété plusieurs fois sur le même fichier.

Corruption des données Vs cryptage

Pourquoi détruire des fichiers en les écrasant avec des données aléatoires au lieu de déployer un rançongiciel pour les chiffrer ? À première vue, cela ressemble à des opérations de manipulation de fichiers. Le cryptage d'un fichier implique de la reécriture de données, un bloc à la fois, avec des données d'apparence aléatoire. Cependant, il existe des moyens de détecter ces opérations de chiffrement lorsqu'elles sont effectuées en grande succession et de nombreuses solutions d'EDR peuvent désormais détecter ce comportement et peuvent l'arrêter. Pendant ce temps, le type d'écrasement de fichiers effectué par Exmatter est beaucoup plus subtil. « Le fait d'utiliser des données de fichiers légitimes d'un système cible pour corrompre d'autres fichiers peut être une technique pour éviter la détection heuristique des ransomwares et effaceurs de données, car la copie d'un fichier à un autre est une fonctionnalité bien plus bénigne que l'écrasement séquentiel. des fichiers avec des données aléatoires ou en les cryptant », ont expliqué les chercheurs de Stairwell.

Une autre raison est que le cryptage des fichiers est une tâche plus intensive qui prend plus de temps. Il est également beaucoup plus difficile et coûteux de mettre en œuvre des programmes de cryptage de fichiers - ce que sont essentiellement les ransomwares - sans bugs ni défauts que les chercheurs pourraient exploiter pour inverser le cryptage. Il y a eu de nombreux cas au fil des ans où les chercheurs ont trouvé des faiblesses dans les implémentations de chiffrement des ransomwares et ont pu publier des décrypteurs. C'est ce qui est arrivé à BlackMatter, l'opération RaaS à laquelle l'outil Exmatter était initialement associé. « Avec l'exfiltration de données désormais la norme parmi les acteurs de la menace, développer un rançongiciel stable, sécurisé et rapide pour chiffrer les fichiers est une entreprise redondante et coûteuse par rapport à la corruption de fichiers et à l'utilisation des copies exfiltrées comme moyen de récupération des données », ont déclaré des chercheurs de Cyderes dans un avis. Reste à voir s'il s'agit d'un début de tendance où les affiliés de ransomwares passent à la destruction des données au lieu du cryptage, s'assurant que la seule copie est en leur possession. Ou s'il s'agit simplement d'un incident isolé où les affiliés de BlackMatter/BlackCat veulent éviter les erreurs de le passé. Cependant, le vol de données et les attaques d'extorsion impliquant la destruction ne sont pas nouveaux et se sont répandus aux environnements des bases de données cloud. Les attaquants ont ainsi touché des buckets S3 non protégés, des bases de données MongoDB, des instances Redis, des index ElasticSearch pendant des années, supprimant leur contenu et laissant derrière eux des notes de rançon. Il ne serait donc pas surprenant de voir également ce mouvement s'étendre aux systèmes sur site.