Шифровальщик BlackMatter обзавелся собственным инструментом кражи данных

Шифровальщик BlackMatter обзавелся собственным инструментом кражи данных

Шифровальщик BlackMatter обзавелся собственным инструментом кражи данных

Исследователи из Symantec обнаружили, что один из аффилиатов RaaS-сервиса BlackMatter начал использовать в атаках кастомный инструмент кражи документов с целью шантажа. Анализ показал, что Exmatter способен отыскивать в папках жертвы файлы с заданными расширениями и выгружать их на удаленный сервер до запуска шифровальщика.

На памяти экспертов это уже третий случай, когда операторы вымогательских программ создают собственную утилиту для вывода данных. Два года назад такой инструмент появился у ОПГ, стоящей за Ryuk, а минувшим летом — в пакете услуг LockBit (с обновлением шифровальщика до версии 2.0 клиентам криминального сервиса стали предлагать также программу-шпиона StealBit).

Написанный на .NET зловред Exmatter при запуске прежде всего пытается спрятать свое окно через вызов API-функции ShowWindow(). Для идентификации объектов, подлежащих сливу на сторону, программа собирает имена всех логических дисков и путей к файлам.

При поиске файлов вредонос руководствуется списком из 13 расширений, включающим .docx, .xlsx, .pdf, .msg, .png и .csv. Примечательно, что Exmatter не крадет файлы мельче 1024 байт. Он также обходит стороной большое количество папок:

  • C:\Documents and Settings
  • C:\PerfLogs
  • C:\Program Files\Windows Defender Advanced Threat Protection\Classification\Configuration
  • C:\Program Files\WindowsApps
  • C:\ProgramData\Application Data
  • C:\ProgramData\Desktop
  • C:\ProgramData\Documents
  • C:\ProgramData\Microsoft
  • C:\ProgramData\Packages
  • C:\ProgramData\Start Menu
  • C:\ProgramData\Templates
  • C:\ProgramData\WindowsHolographicDevices
  • C:\Recovery
  • C:\System Volume Information
  • C:\Users\All Users
  • C:\Users\Default
  • C:\Users\Public\Documents
  • C:\Windows

Все находки отправляются на SFTP-сервер с IP-адресом 165[.]22[.]84[.]147 (порт 22); предусмотрено также обращение к SOCKS5-прокси на порту 1080, но эта настройка пока не используется. После вывода данных Exmatter заметает следы — пытается с помощью PowerShell перезаписать начальный блок данных в своем файле и удаляет его.

Исследователям попадались разные варианты зловреда. По всей видимости, его создатели все еще совершенствуют свой инструмент, чтобы обеспечить кражу важных данных в достаточном объеме и в кратчайшие сроки.

Так, один из более новых вариантов Exmatter пользовался более длинным списком расширений — в него были добавлены .xlsm и .zip. В следующей версии этот список был расширен до 22 позиций за счет добавления .json, .config, .ts, .cs, .js, .aspx и .pst.

Этот сэмпл также не трогал файлы, имена которых содержали следующие строки:

  • OneDriveMedTile
  • locale-
  • SmallLogo
  • VisualElements
  • adobe_sign
  • Adobe Sign
  • core_icons

Появился и еще один вариант выгрузки краденого: зловреду был придан клиент WebDav, привязанный к хранилищу на сервере 157[.]230[.]28[.]192. Тем не менее, судя по структуре кода, злоумышленники продолжают отдавать предпочтение протоколу SFTP, а WebDav остался в резерве.

При дальнейшей доработке кода SFTP-сервер зловреда сменил IP-адрес (на 159[.]89[.]128[.]13), но остался в той же AS-сети облачного провайдера DigitalOcean. Белый список расширений тоже был обновлен — из него исчезла позиция .png.

Кто именно создал Exmatter, владельцы BlackMatter или какой-то клиент их сервиса RaaS (Ransomware-as-a-Service, шифровальщик как услуга), установить не удалось. По данным Symantec, за распространение BlackMatter ответственна та же криминальная группа, которая ранее оперировала шифровальщиком Darkside (получил скандальную известность после атаки на Colonial Pipeline).

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Выручка «Группы Астра» достигла 6,6 млрд рублей за 6 месяцев 2025 года

ПАО «Группа Астра» опубликовала показатели по МСФО за первые шесть месяцев 2025 года. Как отмечает компания, её бизнес традиционно имеет сезонность: большая часть отгрузок приходится на второе полугодие, тогда как расходы распределены равномерно.

В отчетный период отгрузки выросли на 4% год к году и достигли 5,8 млрд рублей. Выручка увеличилась на 34% и составила 6,6 млрд рублей.

Рост объясняется в том числе признанием выручки от ранее поставленных продуктов и увеличением доходов от сопровождения. Скорректированная EBITDA составила 1,3 млрд рублей, скорректированная чистая прибыль — 0,6 млрд рублей. Показатель чистый долг/EBITDA LTM на 30 июня 2025 года равен 0,23, что указывает на низкую долговую нагрузку.

В апреле совет директоров одобрил buyback до 2 млн акций (около 1% капитала). На конец августа компания выкупила 500 тысяч акций. В июне акционеры утвердили дивиденды по итогам 2024 года в размере 661 млн рублей (3,15 рубля на акцию). С учетом промежуточных выплат общая сумма дивидендов составила 1,2 млрд рублей, или 5,79 рубля на акцию.

Заместитель гендиректора по экономике и финансам Елена Бородкина отметила, что компания работает в условиях высокой ключевой ставки и снижения инвестиционной активности заказчиков, что влияет на цикл согласования проектов и формирует отложенный спрос:

«Мы все еще видим замедление в ИТ-секторе: действующие и потенциальные клиенты по-прежнему осторожно подходят к инвестиционным решениям, что удлиняет цикл согласования проектов и формирует отложенный спрос. Это видно по отгрузкам за отчетный период, которые остались почти на том же уровне относительно аналогичного периода 2024 года. Указанные факторы наряду с исторической сезонностью могут оказать влияние на финальные годовые результаты группы. Однако итоговая динамика финансовых показателей будет зависеть от макроэкономических условий и активности клиентов».

По словам Бородкиной, в компании усиливается контроль расходов и оптимизация процессов разработки, включая устранение дублирующих функций после сделок M&A и переход к новому портфельному подходу к развитию продуктов.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru