Ransomware-as-a-Service: BlackMatter emerge da sombra do DarkSide. Em uma nova análise, os especialistas da SophosLabs fornecem uma visão sobre o ransomware BlackMatter.
Assim, existem semelhanças com DarkSide Ransomware-as-a-Service (RaaS) e outros grupos de malware, como REvil e LockBit 2.0. Muitas funções são semelhantes aqui, mas os detalhes permanecem individuais.
BlackMatter vs DarkSide RaaS
Como o BlackMatter e o DarkSide RaaS estão relacionados? A Sophos está divulgando detalhes com base na análise da Sophos Labs do malware BlackMatter e nas descobertas da Equipe de Resposta Rápida de um incidente envolvendo o BlackMatter. Entre outras coisas, a análise descreve funções novas e desconhecidas do ransomware BlackMatter, como redefinir as permissões de arquivo para cada documento criptografado para conceder acesso total ao grupo "Todos". Ele também fornece detalhes sobre como o malware é distribuído pela rede e os processos que são encerrados antes da implantação do ransomware.
Táticas de ransomware BlackMatter
Na investigação, os pesquisadores da Sophos também descrevem como as táticas, técnicas e procedimentos (TTPs) usados pelo ransomware BlackMatter são semelhantes aos usados pelo DarkSide, REvil e LockBit 2.0. Por exemplo, há um “reset” da imagem de fundo na nota de resgate, que é tecnicamente muito semelhante ao DarkSide. Uma abordagem para a criptografia de arquivos multithreading também lembra o DarkSide. O abuso do "modo de segurança", novamente, é muito semelhante à abordagem usada pelo REvil. Além disso, há uma extensão dos direitos de controle de conta de usuário (UAC), como já foi observado nos ataques DarkSide e LockBit 2.0. DarkSide e REvil também já criptografam strings de código para tornar a detecção estática mais difícil.
A estrutura do BlackMatter é semelhante ao DarkSide
Mark Loman, diretor de engenharia da Sophos, avalia os resultados da seguinte forma: “Nossa análise do malware mostra que, embora haja semelhanças com o ransomware DarkSide, o código não é idêntico. Como alegaram os supostos operadores por trás do ransomware, também há semelhanças com REvil e LockBit 2.0. No entanto, também encontramos alguns recursos que tornam o BlackMatter diferente. Uma delas é a capacidade de redefinir as permissões de arquivo para que qualquer pessoa possa ver um documento. Uma configuração que os administradores de TI precisam lembrar de redefinir após a restauração dos arquivos.”
Mais em Sophos.com
Sobre a Sophos A Sophos tem a confiança de mais de 100 milhões de usuários em 150 países. Oferecemos a melhor proteção contra ameaças complexas de TI e perda de dados. Nossas soluções de segurança abrangentes são fáceis de implantar, usar e gerenciar. Eles oferecem o menor custo total de propriedade do setor. A Sophos oferece soluções de criptografia premiadas, soluções de segurança para endpoints, redes, dispositivos móveis, e-mail e web. Também há suporte da SophosLabs, nossa rede global de centros de análise proprietários. A sede da Sophos fica em Boston, EUA e Oxford, Reino Unido.