Ransomware-as-a-Service : BlackMatter émerge de l'ombre du DarkSide. Dans une nouvelle analyse, les experts des SophosLabs donnent un aperçu du rançongiciel BlackMatter.
En conséquence, il existe des similitudes avec DarkSide Ransomware-as-a-Service (RaaS) et d'autres groupes de logiciels malveillants tels que REvil et LockBit 2.0. De nombreuses fonctions sont similaires ici, mais les détails restent individuels.
BlackMatter contre DarkSide RaaS
Quel est le lien entre BlackMatter et DarkSide RaaS ? Sophos publie des détails basés sur l'analyse des logiciels malveillants BlackMatter par les Sophos Labs et les conclusions de l'équipe d'intervention rapide suite à un incident impliquant BlackMatter. Entre autres choses, l'analyse décrit de nouvelles fonctions jusqu'alors inconnues du rançongiciel BlackMatter, telles que la réinitialisation des autorisations de fichier pour chaque document crypté afin d'accorder au groupe "Tout le monde" un accès complet. Il fournit également des détails sur la manière dont le logiciel malveillant est distribué sur le réseau et sur les processus qui sont interrompus avant le déploiement du logiciel de rançon.
Tactiques du rançongiciel BlackMatter
Dans l'enquête, les chercheurs de Sophos décrivent également comment les tactiques, techniques et procédures (TTP) utilisées par le rançongiciel BlackMatter sont similaires à celles utilisées par DarkSide, REvil et LockBit 2.0. Par exemple, il y a une "réinitialisation" de l'image d'arrière-plan dans la note de rançon, qui est techniquement très similaire à DarkSide. Une approche du chiffrement de fichiers multithreading rappelle également DarkSide. L'abus du "mode sans échec", encore une fois, est très similaire à l'approche utilisée par REvil. De plus, il y a une extension des droits du contrôle de compte d'utilisateur (UAC), comme cela a déjà été observé dans les attaques DarkSide et LockBit 2.0. DarkSide et REvil chiffrent également déjà les chaînes de code pour rendre la détection statique plus difficile.
La structure de BlackMatter est similaire à DarkSide
Mark Loman, directeur de l'ingénierie chez Sophos, évalue les résultats comme suit : "Notre analyse du malware montre que s'il existe des similitudes avec le rançongiciel DarkSide, le code n'est pas identique. Comme l'ont affirmé les opérateurs présumés derrière le ransomware, il existe également des similitudes avec REvil et LockBit 2.0. Cependant, nous avons également trouvé certaines fonctionnalités qui rendent BlackMatter différent. L'un d'eux est la possibilité de réinitialiser les autorisations de fichiers afin que tout le monde puisse voir un document. Un paramètre que les administrateurs informatiques doivent se rappeler de réinitialiser après la restauration des fichiers. »
Plus sur Sophos.com
À propos de Sophos Plus de 100 millions d'utilisateurs dans 150 pays font confiance à Sophos. Nous offrons la meilleure protection contre les menaces informatiques complexes et la perte de données. Nos solutions de sécurité complètes sont faciles à déployer, à utiliser et à gérer. Ils offrent le coût total de possession le plus bas du secteur. Sophos propose des solutions de chiffrement primées, des solutions de sécurité pour les terminaux, les réseaux, les appareils mobiles, la messagerie et le Web. Vous bénéficiez également de l'assistance des SophosLabs, notre réseau mondial de centres d'analyse propriétaires. Le siège social de Sophos se trouve à Boston, aux États-Unis, et à Oxford, au Royaume-Uni.