Cyberthreat.id – Peneliti dari dari perusahaan keamanan AS Cyderes and Stairwell mengungkapkan bahwa kelompok Ransomware tampaknya mencoba meningkatkan kemampuan dengan penghancuran data (destruksi data.

Dikutip dari Info Security Magazine, hal ini dilakukan sebagai upaya untuk menghindari deteksi, meningkatkan peluang mereka untuk mendapatkan bayaran dan meminimalkan peluang untuk pengembangan alat dekripsi.

Bahkan, analisis malware memunculkan bahwa ini mirip dengan Exmatter, yang merupakan alat eksfiltrasi berbasis .NET yang sering digunakan oleh afiliasi ransomware BlackCat/ALPHV. Namun, dalam versi alat ini, penyerang mencoba merusak file di sistem korban setelah eksfiltrasi, daripada mengenkripsinya seperti biasa.

“Pertama, malware mengulangi drive mesin korban, menghasilkan antrean file yang cocok dengan daftar hardcode dari ekstensi yang ditunjuk. File yang cocok dengan ekstensi file tersebut ditambahkan ke antrian untuk eksfiltrasi, yang kemudian ditulis ke folder dengan nama yang sama dengan nama host mesin korban,” terang Cyderes.

Peneliti mengatakan, saat file diunggah ke server yang dikendalikan aktor, file yang telah berhasil disalin ke server jauh diantrekan untuk diproses oleh kelas bernama 'Eraser.' Segmen berukuran acak mulai dari awal file kedua dibacakan ke buffer dan kemudian ditulis ke awal file pertama, menimpanya dan merusak file.

Ada beberapa keuntungan bagi kelompok afiliasi menggunakan taktik tersebut. Pertama, menggunakan data file yang sah untuk merusak file lain mungkin tampak lebih masuk akal untuk alat keamanan, dan karena itu membantu untuk melewati deteksi berbasis heuristik untuk ransomware dan wiper.

Kedua, jika kelompok tersebut mampu mengekstrak semua file korban dan kemudian merusak yang sudah ada, mereka memiliki daya tawar yang lebih besar dalam hal pemerasan. Ini berarti afiliasi memiliki satu-satunya salinan yang tersisa, dan tidak perlu membayar tebusan kepada pengembang ransomware, karena tidak ada enkripsi yang digunakan.

Ketiga, mereka tidak perlu khawatir tentang kerentanan dalam kode ransomware itu sendiri, yang mungkin memungkinkan pembela untuk membangun alat dekripsi.

“Dengan salinan kuat dari data bisnis korban yang dikumpulkan, mengenkripsi file yang sama pada disk menjadi tugas pengembangan yang berlebihan dibandingkan dengan penghancuran data,” bantah Stairwell.

Faktor-faktor ini memuncak dalam kasus yang dapat dibenarkan bagi afiliasi yang meninggalkan model RaaS untuk menyerangnya sendiri, menggantikan ransomware pengembangan-berat dengan penghancuran data.