Ransomware-as-a-Service: BlackMatter は DarkSide の影から出現します。 新しい分析では、SophosLabs の専門家が BlackMatter ランサムウェアに関する洞察を提供しています。
したがって、DarkSide Ransomware-as-a-Service (RaaS) や、REvil や LockBit 2.0 などの他のマルウェア グループと類似点があります。 ここでは多くの機能が類似していますが、詳細は個別のままです。
BlackMatter vs DarkSide RaaS
BlackMatter と DarkSide RaaS はどのように関連していますか? ソフォスは、Sophos Labs による BlackMatter マルウェアの分析と、BlackMatter に関連するインシデントからの Rapid Response Team の調査結果に基づいて詳細を公開しています。 特に、分析では、「Everyone」グループにフルアクセスを許可するために、暗号化された各ドキュメントのファイル許可をリセットするなど、BlackMatter ランサムウェアのこれまで発見されていなかった新しい機能について説明しています。 また、マルウェアがネットワーク全体にどのように配布されるか、ランサムウェアが展開される前に終了するプロセスについても詳しく説明します。
BlackMatter ランサムウェアの戦術
調査の中で、ソフォスの研究者は、BlackMatter ランサムウェアが使用する戦術、技術、および手順 (TTP) が、DarkSide、REvil、および LockBit 2.0 で使用されるものとどのように類似しているかについても説明しています。 たとえば、身代金メモには背景画像の「リセット」があり、技術的には DarkSide と非常によく似ています。 マルチスレッド ファイル暗号化へのアプローチも、DarkSide を思い起こさせます。 「セーフ モード」の乱用も、REvil で使用されているアプローチと非常によく似ています。 さらに、DarkSide および LockBit 2.0 攻撃ですでに観察されたように、ユーザー アカウント制御 (UAC) の権限の拡張があります。 DarkSide と REvil は、すでにコード文字列を暗号化して、静的検出をより困難にしています。
BlackMatter の構造は DarkSide に似ています
Sophos のエンジニアリング ディレクターである Mark Loman は、結果を次のように評価しています。 ランサムウェアの背後にいる疑いのあるオペレーターが主張しているように、REvil と LockBit 2.0 にも類似点があります。 ただし、BlackMatter を他とは違うものにするいくつかの機能も見つかりました。 その XNUMX つは、ファイルのアクセス許可をリセットして、誰でもドキュメントを表示できるようにする機能です。 ファイルを復元した後、IT 管理者が忘れずにリセットする必要がある設定です。」
詳細は Sophos.com をご覧ください
ソフォスについて ソフォスは、100 か国の 150 億人を超えるユーザーから信頼されています。 複雑な IT の脅威とデータ損失に対する最高の保護を提供します。 当社の包括的なセキュリティ ソリューションは、導入、使用、管理が簡単です。 業界で最も低い総所有コストを提供します。 ソフォスは、受賞歴のある暗号化ソリューション、エンドポイント、ネットワーク、モバイル デバイス、電子メール、および Web 向けのセキュリティ ソリューションを提供しています。 また、独自の分析センターのグローバル ネットワークである SophosLabs からのサポートもあります。 ソフォスの本社は、米国のボストンと英国のオックスフォードにあります。