Группы анализа угроз из двух разных фирм по кибербезопасности, Cyderes и Stairwell, опубликовали совместный отчет с подробным описанием новой техники вымогателей, которая может стать следующей большой эволюцией программ-вымогателей. Вместо того, чтобы шифровать данные на компьютерах жертв, программы-вымогатели могут повредить данные, сделав их нечитаемыми таким образом, что данные невозможно будет исправить с помощью инструмента дешифрования.

Исторически программы-вымогатели работали, заражая компьютер жертвы и шифруя все файлы с помощью ключа, известного только злоумышленникам, стоящим за программой-вымогателем. Без этого ключа жертва не сможет расшифровать и прочитать ни один из файлов на компьютере. Затем злоумышленники вымогают деньги у жертвы, требуя плату за расшифровку файлов. Однако в последние годы программы-вымогатели эволюционировали, чтобы облегчить своего рода двойное вымогательство, при котором злоумышленники одновременно шифруют и извлекают файлы жертв. Затем злоумышленники не только требуют выкуп за расшифровку файлов, но и угрожают опубликовать эксфильтрованные файлы в Интернете.

Разработка программ-вымогателей, использующих шифрование, может быть сложной задачей. Злоумышленники все чаще становятся аффилированными лицами разработчиков программ-вымогателей и платят им процент от их прибыли, а не разрабатывают собственные программы-вымогатели. Однако шифрование может быть ненадежным методом вымогателей, поскольку исследователи безопасности могут использовать ошибки в программах-вымогателях для расшифровки данных жертв. Внутренние разногласия между членами группировки вымогателей также могут привести к утечке ключа шифрования, что снова дает исследователям безопасности возможность расшифровывать данные жертв.

Двойному вымогательству программ-вымогателей обычно помогает специальный сайт утечки (DLS) в сети Tor, где злоумышленники публикуют как свои угрозы, так и данные жертв в случае, если жертвы не платят выкуп. Эти специализированные сайты утечки управляются бандами вымогателей, которые работают в соответствии с моделью вымогателей как услуга (RaaS). Эти группировки разрабатывают программы-вымогатели и распространяют их среди различных аффилированных лиц, которые, в свою очередь, используют это программное обеспечение для шифрования и эксфильтрации данных жертв. Затем аффилированные лица должны платить процент от всей прибыли от выкупа банде, которая разрабатывает программу-вымогатель и публикует угрозы двойного вымогательства для своего DLS.

Одна из самых активных банд вымогателей за последние несколько лет в настоящее время известна как ALPHV или BlackCat, но ранее действовала под названиями DarkSide и BlackMatter. Исследователи кибербезопасности из Cyderes недавно столкнулись с новой версией инструмента для эксфильтрации данных Exmatter, используемого филиалами ALPHV/BlackCat. Однако вместо того, чтобы шифровать файлы на компьютерах жертв после их эксфильтрации, эта новая версия вместо этого повреждает файлы, записывая фрагменты файлов друг на друга случайным образом.

В отличие от шифрования, этот процесс повреждения не использует ключ, который мог бы обратить процесс вспять, а это означает, что поврежденные файлы навсегда становятся нечитаемыми. Такой вид повреждения данных оказывается выгодным для аффилиатов-вымогателей, чьи эксфильтрованные копии файлов остаются неповрежденными. Вместо того, чтобы предлагать расшифровать файлы на компьютерах жертв за определенную плату, злоумышленники могут вместо этого вымогать деньги у жертв, взимая с жертв выкуп за возможность загрузить неповрежденные копии своих файлов у злоумышленников.

Если бы программы-вымогатели перешли от шифрования данных к повреждению данных, злоумышленникам не пришлось бы беспокоиться о том, что исследователи безопасности расшифруют данные жертв. Кроме того, злоумышленники могут бесплатно использовать распространенные инструменты для кражи и повреждения данных, а не платить процент от своей прибыли разработчикам программ-вымогателей. Эти преимущества могут подтолкнуть злоумышленников к использованию коррупции вместо шифрования как метода программ-вымогателей. Тем не менее, исследователи кибербезопасности до сих пор обнаружили только один случай коррупции, используемой вместо шифрования, поэтому нам еще предстоит увидеть, станет ли этот прецедент тенденцией.