Ransomware-as-a-Service: BlackMatter emerge dall'ombra di DarkSide. In una nuova analisi, gli esperti di SophosLabs forniscono una panoramica del ransomware BlackMatter.
Di conseguenza, ci sono somiglianze con DarkSide Ransomware-as-a-Service (RaaS) e altri gruppi di malware come REvil e LockBit 2.0. Molte funzioni sono simili qui, ma i dettagli rimangono individuali.
BlackMatter contro DarkSide RaaS
In che modo BlackMatter e DarkSide RaaS sono correlati? Sophos sta rilasciando dettagli basati sull'analisi di Sophos Labs del malware BlackMatter e sui risultati del team di risposta rapida da un incidente che coinvolge BlackMatter. Tra le altre cose, l'analisi descrive nuove funzioni precedentemente sconosciute del ransomware BlackMatter, come la reimpostazione delle autorizzazioni dei file per ciascun documento crittografato al fine di garantire al gruppo "Tutti" l'accesso completo. Fornisce inoltre dettagli su come il malware viene distribuito in tutta la rete e sui processi che vengono terminati prima che il ransomware venga distribuito.
Tattiche del ransomware BlackMatter
Nell'indagine, i ricercatori Sophos descrivono anche come le tattiche, le tecniche e le procedure (TTP) utilizzate dal ransomware BlackMatter siano simili a quelle utilizzate da DarkSide, REvil e LockBit 2.0. Ad esempio, c'è un "reset" dell'immagine di sfondo nella nota di riscatto, che è tecnicamente molto simile a DarkSide. Un approccio alla crittografia dei file multithreading ricorda anche DarkSide. L'abuso della "modalità provvisoria", ancora una volta, è molto simile all'approccio utilizzato da REvil. Inoltre, c'è un'estensione dei diritti di controllo dell'account utente (UAC), come già osservato negli attacchi DarkSide e LockBit 2.0. DarkSide e REvil crittografano già le stringhe di codice per rendere più difficile il rilevamento statico.
La struttura di BlackMatter è simile a DarkSide
Mark Loman, Director of Engineering di Sophos, valuta i risultati come segue: "La nostra analisi del malware mostra che mentre ci sono somiglianze con DarkSide ransomware, il codice non è identico. Come hanno affermato i presunti operatori dietro il ransomware, ci sono anche somiglianze con REvil e LockBit 2.0. Tuttavia, abbiamo anche trovato alcune caratteristiche che rendono BlackMatter diverso. Uno di questi è la possibilità di reimpostare i permessi dei file in modo che chiunque possa vedere un documento. Un'impostazione che gli amministratori IT devono ricordare di reimpostare dopo aver ripristinato i file.
Maggiori informazioni su Sophos.com
A proposito di Sophos Sophos gode della fiducia di oltre 100 milioni di utenti in 150 paesi. Offriamo la migliore protezione contro le minacce informatiche complesse e la perdita di dati. Le nostre soluzioni di sicurezza complete sono facili da implementare, utilizzare e gestire. Offrono il costo totale di proprietà più basso del settore. Sophos offre soluzioni di crittografia pluripremiate, soluzioni di sicurezza per endpoint, reti, dispositivi mobili, e-mail e web. C'è anche il supporto dei SophosLabs, la nostra rete globale di centri di analisi proprietari. Le sedi di Sophos sono a Boston, USA e Oxford, UK.