La herramienta Exmatter acelera la filtración de datos de BlackMatter

El grupo de ransomware BlackMatter ha estado utilizando una nueva herramienta de exfiltración de datos diseñada para acelerar el robo de información. La herramienta, llamada Exmatter, está hecha a medida por el grupo de ransomware utilizando el marco DotNet. Equipos de Symantec han descubierto la herramienta personalizada que roba ciertos tipos de archivos de directorios […]

El grupo de ransomware BlackMatter ha estado utilizando una nueva herramienta de exfiltración de datos diseñada para acelerar el robo de información. La herramienta, llamada Exmatter, está hecha a medida por el grupo de ransomware utilizando el marco DotNet.

Equipos de Symantec han descubierto la herramienta personalizada que roba ciertos tipos de archivos de directorios seleccionados y los carga en un servidor antes de implementar el ransomware en la red de la víctima.

Para robar archivos, la herramienta obtiene los nombres de las unidades lógicas en la computadora de la víctima y todos los nombres de las rutas de los archivos. Sin embargo, la herramienta evita cualquier cosa en ciertos directorios como C: \ Documents and Settings, y más.

Solo roba ciertos tipos de archivos específicos, como PDF, hojas de cálculo, PowerPoints y documentos de Word, y prefiere apuntar a archivos con LastWriteTime reciente.

Una vez que se realiza la exfiltración, la herramienta sobrescribe la parte inicial del archivo y se asegura de eliminar cualquier rastro de sí misma de la red de la víctima.

Según los investigadores, el grupo BlackMatter está asociado con el grupo de delitos cibernéticos Coreid, que se cree que está detrás del ransomware Darkside que provocó la devastadora interrupción de Colonial Pipeline.

Versiones de la herramienta

Symantec ha descubierto múltiples variantes de la herramienta, lo que implica que los atacantes detrás de ella han hecho esfuerzos para hacerla más eficiente y mejorar su funcionalidad para acelerar el proceso de robo de datos.

En una de las variantes, el directorio para evitar datos fue reemplazado por una dirección diferente en la lista de exclusión. Además, la variante ha incluido tipos de archivo .xlsm y .zip en la lista de inclusión.

Otra variante incluye un cliente WebDav y la estructura del código implica que SFTP es el protocolo preferido con WebDav actuando como respaldo. El cliente WebDav usa una URL fija.

Hubo otra variante de la herramienta personalizada que se observó con información actualizada del servidor SFTP.