Ransomware-as-a-Service: BlackMatter

Sophos News

Beitrag teilen

Ransomware-as-a-Service: BlackMatter tritt aus dem DarkSide-Schatten. In einer neuen Analyse geben die Experten der SophosLabs einen Einblick in die Ransomware BlackMatter.

Demnach bestehen Ähnlichkeiten zur DarkSide Ransomware-as-a-Service (RaaS) und zu anderen Malwaregruppen wie REvil und LockBit 2.0. Viele Funktionen sind hierbei ähnlich, Details bleiben trotzdem individuell.

BlackMatter vs. DarkSide RaaS

Wie hängen BlackMatter und die DarkSide RaaS zusammen? Sophos veröffentlicht Details, die auf den Analysen der Sophos Labs zur BlackMatter Schadsoftware beruhen, sowie auf den Erkenntnissen, die das Rapid Response Team aus einem Vorfall zog, in den BlackMatter involviert war. Die Analyse beschreibt unter anderem neue, bislang unentdeckte Funktionen der BlackMatter Ransomware, wie sie die Dateiberechtigungen für jedes verschlüsselte Dokument zurücksetzt, um der Gruppe „Jeder“ vollen Zugriff zu gewähren. Darüber hinaus geht es um Details, wie die Schadware über das gesamte Netzwerk verteilt wird sowie Informationen zu den Prozessen, die vor Bereitstellung der Ransomware beendet werden.

Taktiken der BlackMatter-Ransomware

In der Untersuchung beschreiben die Sophos-Forscher außerdem, wie die von der BlackMatter-Ransomware verwendeten Taktiken, Techniken und Verfahren (TTPs) denen von DarkSide, REvil und LockBit 2.0 ähneln. So präsentiert sich etwa ein “Zurücksetzen” des Hintergrundbildes in der Lösegeldforderung, das dem von DarkSide technisch sehr ähnlich ist. Ein Ansatz zur Multithreading-Dateiverschlüsselung erinnert ebenfalls DarkSide. Der Missbrauch des “abgesicherten Modus”, wiederum gleicht sehr dem von REvil verwendeten Ansatz. Zudem zeigt sich eine Ausweitung der Rechte der Benutzerkontensteuerung (UAC), wie sie schon bei den Angriffen von DarkSide und LockBit 2.0 beobachtet wurde. Auch die Verschlüsselung von Code-Strings, um eine statische Erkennung zu erschweren, gab es bereits bei DarkSide und REvil.

BlackMatter-Struktur ähnelt DarkSide

Mark Loman, Director of Engineering bei Sophos, bewertet die Ergebnisse so: „Unsere Analyse der Malware zeigt, dass es zwar Ähnlichkeiten mit DarkSide Ransomware gibt, der Code aber nicht identisch ist. Wie die mutmaßlichen Betreiber hinter der Ransomware behauptet haben, gibt es auch Ähnlichkeiten mit REvil und LockBit 2.0. Wir haben aber auch einige Merkmale gefunden, mit denen sich BlackMatter unterscheidet. Eines davon ist die Fähigkeit, Dateiberechtigungen zurückzusetzen, so dass jeder ein Dokument sehen kann. Eine Einstellung, an die IT-Administratoren denken müssen, um sie nach der Wiederherstellung von Dateien zurückzusetzen.“

Mehr bei Sophos.com

 


Über Sophos

Mehr als 100 Millionen Anwender in 150 Ländern vertrauen auf Sophos. Wir bieten den besten Schutz vor komplexen IT-Bedrohungen und Datenverlusten. Unsere umfassenden Sicherheitslösungen sind einfach bereitzustellen, zu bedienen und zu verwalten. Dabei bieten sie die branchenweit niedrigste Total Cost of Ownership. Das Angebot von Sophos umfasst preisgekrönte Verschlüsselungslösungen, Sicherheitslösungen für Endpoints, Netzwerke, mobile Geräte, E-Mails und Web. Dazu kommt Unterstützung aus den SophosLabs, unserem weltweiten Netzwerk eigener Analysezentren. Die Sophos Hauptsitze sind in Boston, USA, und Oxford, UK.


 

Passende Artikel zum Thema

Bösartiges Site Hopping

In letzter Zeit wird vermehrt eine neue Technik zur Umgehung von Sicherheitsscannern eingesetzt, nämlich das „Site Hopping“. Diese Technik ist ➡ Weiterlesen

Finanzsektor zahlt bei Ransomware-Attacken Rekordsummen

Stetig wächst die Zahl der jährlichen Ransomware-Attacken auf Unternehmen des Finanzsektors: waren es in 2021 noch 34 Prozent, stieg die ➡ Weiterlesen

Neue Ransomware-Gruppe Money Message entdeckt

Bereits im April dieses Jahres wurde eine neue Ransomware-Gruppe namens „Money Message“ aktiv. Während die Cyberkriminellen bislang unter dem Radar ➡ Weiterlesen

Wardriving mit künstlicher Intelligenz

Mittlerweile werden KI-Tools millionenfach eingesetzt, um Themen zu recherchieren, Briefe zu schreiben und Bilder zu erstellen. Doch auch im Bereich ➡ Weiterlesen

LockBit veröffentlich 43 GByte gestohlene Boeing-Daten

Bereits im Oktober vermeldete die APT-Gruppe LockBit, dass man bei Boeing in die Systeme eingedrungen sei und viele Daten gestohlen ➡ Weiterlesen

CSaaS: Studie zu Cyber Security as a Service 

Unternehmen stärken sich zunehmend mit externer Expertise. So zeigt die aktuelle Studie, dass 46 Prozent der Unternehmen bereits auf Cyber ➡ Weiterlesen

Veeam ONE: Hotfix für kritische Schwachstellen steht bereit 

Veeam informiert seine Nutzer über zwei kritische und zwei mittlere Schwachstellen in Veeam One für die bereits Patches bereitstehen. Die ➡ Weiterlesen

Cyberattacke auf Deutsche Energie-Agentur – dena

Die Deutsche Energie-Agentur vermeldet nach eigenen Angaben eine Cyberattacke am Wochenende vom 11. auf den 12. November. Die Server sind ➡ Weiterlesen