Во время недавнего реагирования на инцидент команда Cyderes обнаружила и проанализировала инструмент в связи с расследованием дела о вымогательстве BlackCat/ALPHV. Компания Cyderes провела первоначальную оценку и установила, что образец представляет собой инструмент эксфильтрации с жестко закодированными учетными данными sftp.
Образец также был передан в группу исследования угроз Stairwell, где при анализе была обнаружена частично реализованная функциональность уничтожения данных. Использование уничтожения данных субъектами аффилированного уровня вместо развертывания RaaS ознаменовало бы значительный сдвиг в ландшафте вымогательства данных и стало бы сигналом к балканизации финансово мотивированных субъектов вторжения, работающих в настоящее время под знаменами партнерских программ RaaS.
Образец ad5002c8a4621efbd354d58a71427c157e4b2805cb86f434d724fc77068f1c40 представляет собой исполняемый файл .NET, предназначенный для эксфильтрации данных по протоколам ftp, sftp и webDAV, и содержит функциональность для повреждения файлов на диске, которые были эксфильтрированы. Поведение этого образца при эксфильтрации данных близко к предыдущим сообщениям о Exmatter, инструменте эксфильтрации .NET, используемом, по крайней мере, одним из филиалов группы BlackMatter ransomware. Данный образец был замечен Cyderes в связи с развертыванием вымогательского ПО BlackCat/ALPHV, которое, как утверждается, используется филиалами многочисленных групп вымогателей, включая BlackMatter.
BlackCat/ALPHV Ransomware IOCs
Indicators of Compromise
IPv4
- 128.199.145.18
SHA256
- ad5002c8a4621efbd354d58a71427c157e4b2805cb86f434d724fc77068f1c40