Fino ad ora il comportamento standard dei ransomware è stato basato sulla crittografia dei dati "sequestrati" in attesa di ricevere il "riscatto" richiesto e di fornire (nelle ipotesi migliori) le chiavi di decriptazione necessarie per la loro "liberazione". Le cose starebbero però cambiando, almeno stando ad uno studio dei ricercatori di Cyderes.
Secondo questi ultimi gli attacchi più recenti sembrerebbero essere mirati più frequentemente alla distruzione delle informazioni coinvolte. A questo proposito è stato preso come esempio Exmatter, uno stumento basato sul paradigma del RaaS (Ransomware-as-a-Service) che integra un’opzione ("Eraser") per la cancellazione definitiva dei dati.
Di base Exmatter agisce come tutti i ransomware più pericolosi, inviando i file intercettati verso un server esterno. Fatto questo esso seleziona due file in modalità random, preleva la parte iniziale del secondo e la sovrascrive a quella iniziale del primo per poi sceglie casualmente altre coppie di documenti ed effettuare la medesima procedura.
Terminata quest’ultima i dati colpiti risultano inaccessibili e tentare di recuperarli sarebbe un compito molto complesso se non addirittura impossibile. La sovrascrittura è poi un’operazione molto più veloce rispetto alla crittografia dei dati e questo aspetto determina tempi di reazione che dovrebbero essere molto più ridotti da parte delle vittime di attacchi.
Tale tecnica risulta inoltre molto insidiosa perché non necessita di introdurre nuovi file all’interno del sistema coinvolto, si utilizzano direttamente i file presenti in esso e questo rende spesso l’azione degli antivirus inefficace. Nella maggior parte dei casi quindi, dato che i file integri sono presenti solo nei server degli attaccanti, pagare il riscatto diventa l’unica opzione disponibile.