Los afiliados al ransomware parecen estar incursionando en nuevas capacidades de destrucción de datos en un intento por evadir la detección, aumentar sus posibilidades de obtener pagos y minimizar las oportunidades para el desarrollo de herramientas de descifrado.
Un nuevo informe de las empresas de seguridad estadounidenses Cyderes y Stairwell revela el análisis de un malware similar a Exmatter. Exmatter es una herramienta de exfiltración basada en .NET que suelen utilizar los afiliados al ransomware BlackCat/ALPHV.
Sin embargo, en esta versión de la herramienta, el atacante intenta corromper los archivos del sistema de la víctima tras la exfiltración, en lugar de cifrarlos como es habitual.
El uso de estas tácticas tiene varias ventajas para el grupo afiliado.
En primer lugar, el uso de datos de archivos legítimos para corromper otros archivos puede parecer más “plausiblemente benigno” para las herramientas de seguridad, y por lo tanto ayuda a eludir la detección basada en la heurística para el ransomware y los wipers.
En segundo término, si el grupo es capaz de exfiltrar todos los archivos de una víctima y luego corromper los existentes, tiene más poder de negociación a la hora de extorsionar. Significa que los afiliados tienen la única copia restante, y no tendrían que pagar a los desarrolladores del ransomware una parte del rescate, ya que no se utiliza el cifrado.
Por último, no tienen que preocuparse por las vulnerabilidades del propio código del ransomware, que podrían permitir a los defensores construir herramientas de descifrado.