勒索软件关联公司采用数据销毁

勒索软件的附属公司似乎正在尝试新的数据破坏功能，以逃避检测、增加获得报酬的机会并最大限度地减少开发解密工具的机会。

美国安全公司 Cyderes 和 Stairwell 的一份新报告揭示了对 Exmatter 类恶意软件的分析。Exmatter是BlackCat/ALPHV勒索软件附属机构经常使用的基于.NET的渗透工具。

然而，在这个版本的工具中，攻击者试图在渗透后破坏受害者系统中的文件，而不是像往常一样加密它们。

Cyderes解释说：“恶意软件遍历受害机器的驱动器，生成与指定扩展名的硬编码列表匹配的文件队列。匹配这些文件扩展名的文件被添加到队列中以进行渗透，然后将其写入与参与者控制的服务器上的受害者机器主机名同名的文件夹中。”

当文件上传到演员控制的服务器时，已成功复制到远程服务器的文件将排队等待由名为“Eraser”的类处理。从第二个文件开头开始的随机大小的段被读入缓冲区，然后写入第一个文件的开头，覆盖它并破坏文件。

使用这种策略的附属团体有以下几个优点。首先，使用合法文件数据来破坏其他文件对于安全工具来说可能看起来更合理，因此有助于绕过基于启发式的勒索软件和擦除器检测。

其次，如果该组织能够窃取受害者的所有文件，然后破坏现有文件，那么他们在敲诈勒索时就有更大的讨价还价能力。这意味着关联公司拥有唯一剩余的副本，并且不需要向勒索软件开发人员支付赎金的一部分，因为没有使用加密。

第三，他们不需要担心勒索软件代码本身的漏洞，否则可能会让防御者构建解密工具。

Stairwell说：“通过收集到如此强大的受害者企业数据副本，与数据销毁相比，加密磁盘上的相同文件成为一项多余的、繁重的开发任务。”

这些因素最终形成了一个合理的案例，让附属公司离开 RaaS 模型自行打击它，用数据破坏取代开发繁重的勒索软件。