Ransomware-as-a-Service: BlackMatter surge de la sombra de DarkSide. En un nuevo análisis, los expertos de SophosLabs brindan información sobre el ransomware BlackMatter.
En consecuencia, existen similitudes con DarkSide Ransomware-as-a-Service (RaaS) y otros grupos de malware como REvil y LockBit 2.0. Muchas funciones son similares aquí, pero los detalles siguen siendo individuales.
BlackMatter frente a DarkSide RaaS
¿Cómo se relacionan BlackMatter y DarkSide RaaS? Sophos está publicando detalles basados en el análisis de Sophos Labs del malware BlackMatter y los hallazgos del equipo de respuesta rápida de un incidente relacionado con BlackMatter. Entre otras cosas, el análisis describe funciones nuevas del ransomware BlackMatter que no se habían descubierto anteriormente, como restablecer los permisos de archivo de cada documento cifrado para otorgar acceso completo al grupo "Todos". También proporciona detalles sobre cómo se distribuye el malware en la red y los procesos que finalizan antes de que se implemente el ransomware.
Tácticas del ransomware BlackMatter
En la investigación, los investigadores de Sophos también describen cómo las tácticas, técnicas y procedimientos (TTP) utilizados por el ransomware BlackMatter son similares a los utilizados por DarkSide, REvil y LockBit 2.0. Por ejemplo, hay un "restablecimiento" de la imagen de fondo en la nota de rescate, que es técnicamente muy similar a DarkSide. Un enfoque para el cifrado de archivos de subprocesos múltiples también recuerda a DarkSide. El abuso del "modo seguro", nuevamente, es muy similar al enfoque utilizado por REvil. Además, hay una extensión de los derechos de control de cuentas de usuario (UAC), como ya se observó en los ataques DarkSide y LockBit 2.0. DarkSide y REvil también cifran cadenas de código para dificultar la detección estática.
La estructura de BlackMatter es similar a DarkSide
Mark Loman, director de ingeniería de Sophos, evalúa los resultados de la siguiente manera: "Nuestro análisis del malware muestra que, si bien existen similitudes con el ransomware DarkSide, el código no es idéntico. Como han afirmado los supuestos operadores detrás del ransomware, también hay similitudes con REvil y LockBit 2.0. Sin embargo, también encontramos algunas características que hacen que BlackMatter sea diferente. Uno de ellos es la capacidad de restablecer los permisos de archivo para que cualquiera pueda ver un documento. Una configuración que los administradores de TI deben recordar para restablecer después de restaurar archivos".
Más en Sophos.com
Acerca de Sophos Sophos cuenta con la confianza de más de 100 millones de usuarios en 150 países. Ofrecemos la mejor protección contra amenazas informáticas complejas y pérdida de datos. Nuestras soluciones integrales de seguridad son fáciles de implementar, usar y administrar. Ofrecen el costo total de propiedad más bajo de la industria. Sophos ofrece soluciones de cifrado galardonadas, soluciones de seguridad para terminales, redes, dispositivos móviles, correo electrónico y web. También cuenta con el soporte de SophosLabs, nuestra red global de centros de análisis patentados. Las oficinas centrales de Sophos se encuentran en Boston, EE. UU. y Oxford, Reino Unido.