Шифровальщик BlackMatter обзавелся собственным инструментом кражи данных

Шифровальщик BlackMatter обзавелся собственным инструментом кражи данных

Шифровальщик BlackMatter обзавелся собственным инструментом кражи данных

Исследователи из Symantec обнаружили, что один из аффилиатов RaaS-сервиса BlackMatter начал использовать в атаках кастомный инструмент кражи документов с целью шантажа. Анализ показал, что Exmatter способен отыскивать в папках жертвы файлы с заданными расширениями и выгружать их на удаленный сервер до запуска шифровальщика.

На памяти экспертов это уже третий случай, когда операторы вымогательских программ создают собственную утилиту для вывода данных. Два года назад такой инструмент появился у ОПГ, стоящей за Ryuk, а минувшим летом — в пакете услуг LockBit (с обновлением шифровальщика до версии 2.0 клиентам криминального сервиса стали предлагать также программу-шпиона StealBit).

Написанный на .NET зловред Exmatter при запуске прежде всего пытается спрятать свое окно через вызов API-функции ShowWindow(). Для идентификации объектов, подлежащих сливу на сторону, программа собирает имена всех логических дисков и путей к файлам.

При поиске файлов вредонос руководствуется списком из 13 расширений, включающим .docx, .xlsx, .pdf, .msg, .png и .csv. Примечательно, что Exmatter не крадет файлы мельче 1024 байт. Он также обходит стороной большое количество папок:

  • C:\Documents and Settings
  • C:\PerfLogs
  • C:\Program Files\Windows Defender Advanced Threat Protection\Classification\Configuration
  • C:\Program Files\WindowsApps
  • C:\ProgramData\Application Data
  • C:\ProgramData\Desktop
  • C:\ProgramData\Documents
  • C:\ProgramData\Microsoft
  • C:\ProgramData\Packages
  • C:\ProgramData\Start Menu
  • C:\ProgramData\Templates
  • C:\ProgramData\WindowsHolographicDevices
  • C:\Recovery
  • C:\System Volume Information
  • C:\Users\All Users
  • C:\Users\Default
  • C:\Users\Public\Documents
  • C:\Windows

Все находки отправляются на SFTP-сервер с IP-адресом 165[.]22[.]84[.]147 (порт 22); предусмотрено также обращение к SOCKS5-прокси на порту 1080, но эта настройка пока не используется. После вывода данных Exmatter заметает следы — пытается с помощью PowerShell перезаписать начальный блок данных в своем файле и удаляет его.

Исследователям попадались разные варианты зловреда. По всей видимости, его создатели все еще совершенствуют свой инструмент, чтобы обеспечить кражу важных данных в достаточном объеме и в кратчайшие сроки.

Так, один из более новых вариантов Exmatter пользовался более длинным списком расширений — в него были добавлены .xlsm и .zip. В следующей версии этот список был расширен до 22 позиций за счет добавления .json, .config, .ts, .cs, .js, .aspx и .pst.

Этот сэмпл также не трогал файлы, имена которых содержали следующие строки:

  • OneDriveMedTile
  • locale-
  • SmallLogo
  • VisualElements
  • adobe_sign
  • Adobe Sign
  • core_icons

Появился и еще один вариант выгрузки краденого: зловреду был придан клиент WebDav, привязанный к хранилищу на сервере 157[.]230[.]28[.]192. Тем не менее, судя по структуре кода, злоумышленники продолжают отдавать предпочтение протоколу SFTP, а WebDav остался в резерве.

При дальнейшей доработке кода SFTP-сервер зловреда сменил IP-адрес (на 159[.]89[.]128[.]13), но остался в той же AS-сети облачного провайдера DigitalOcean. Белый список расширений тоже был обновлен — из него исчезла позиция .png.

Кто именно создал Exmatter, владельцы BlackMatter или какой-то клиент их сервиса RaaS (Ransomware-as-a-Service, шифровальщик как услуга), установить не удалось. По данным Symantec, за распространение BlackMatter ответственна та же криминальная группа, которая ранее оперировала шифровальщиком Darkside (получил скандальную известность после атаки на Colonial Pipeline).

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Российские пользователи Java рискуют безопасностью

Согласно отчету Axiom JDK «Тренды Java в России 2024», отечественные разработчики активно внедряют новые релизы Java и возможности ИИ. Но 89% рискует безопасностью, используя зарубежные платформы или решения с открытым кодом.

Как показало исследование, переход на новые релизы Java в России идет динамичнее, чем за рубежом, где многие базируются на ранних версиях Java с долгосрочной поддержкой (LTS, long term support).

Напротив, в России запускается много новых проектов. Так, версию Java 17, вышедшую в сентябре 2021 г., используют почти 70% респондентов, а Java 21, вышедшую в сентябре 2023 г., – 36%. При этом более трети респондентов используют две LTS-версии, а около четверти – три.

 

Без малого половина разработчиков (48%) использует генеративный искусственный интеллект для написания кода. Наиболее популярным инструментом является ChatGPT, который применяет 35%. Почти четверть (23%) экспериментируют с двумя и более нейросетями, 70% ограничивается одним инструментом. При этом авторы исследования обнаружили четкую корреляцию между использованием искусственного интеллекта и новых версий Java.

Подавляющее большинство респондентов в промышленной эксплуатации по-прежнему используют зарубежные дистрибутивы Java, так что потенциал для импортозамещения по-прежнему остается большим. Однако авторы исследования напоминают, что использование в критических системах Java-компонентов без обновления и поддержки увеличивает риски на фоне роста технологических угроз и многообразия систем в ИТ-инфраструктуре.

62% респондентов используют устаревшие версии Java — Java 8 (2014) или Java 11 (2018), которые Oracle распространяла бесплатно. Основной причиной отказа от миграции на новые релизы является высокая трудоемкость процесса, требующего замены всех библиотек-зависимостей.

В топ-5 дистрибутивов вошли Oracle JDK (37%), Liberica JDK (33%), Eclipse Temurin (25%), Amazon Corretto (14%) и Red Hat OpenJDK (14%). Отечественная платформа Axiom JDK с долей 11% заняла шестое место.

 

«Россия — это страна, где Java уже не просто язык программирования, а, по сути, культурный код ИТ-отрасли. Исследование показало огромный аппетит отечественных разработчиков к инновациям и стремление осваивать их ускоренными темпами. В этом и парадокс: стабильность отечественного бизнеса требует смелых решений, включая отказ от зарубежных Java-дистрибутивов без поддержки, которые повышают риски безопасности. Чтобы обеспечить устойчивость бизнеса и технологическую независимость страны, сегодня нужна не просто Java, а целая экосистема — от среды разработки до серверов приложений и библиотек. Здесь мы видим основное направление развития Java-разработки в следующем году», — отметил Сергей Лунегов, директор по продуктам Axiom JDK.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru