Ransomware-as-a-Service: BlackMatter

Sophos News

Beitrag teilen

Ransomware-as-a-Service: BlackMatter tritt aus dem DarkSide-Schatten. In einer neuen Analyse geben die Experten der SophosLabs einen Einblick in die Ransomware BlackMatter.

Demnach bestehen Ähnlichkeiten zur DarkSide Ransomware-as-a-Service (RaaS) und zu anderen Malwaregruppen wie REvil und LockBit 2.0. Viele Funktionen sind hierbei ähnlich, Details bleiben trotzdem individuell.

BlackMatter vs. DarkSide RaaS

Wie hängen BlackMatter und die DarkSide RaaS zusammen? Sophos veröffentlicht Details, die auf den Analysen der Sophos Labs zur BlackMatter Schadsoftware beruhen, sowie auf den Erkenntnissen, die das Rapid Response Team aus einem Vorfall zog, in den BlackMatter involviert war. Die Analyse beschreibt unter anderem neue, bislang unentdeckte Funktionen der BlackMatter Ransomware, wie sie die Dateiberechtigungen für jedes verschlüsselte Dokument zurücksetzt, um der Gruppe „Jeder“ vollen Zugriff zu gewähren. Darüber hinaus geht es um Details, wie die Schadware über das gesamte Netzwerk verteilt wird sowie Informationen zu den Prozessen, die vor Bereitstellung der Ransomware beendet werden.

Taktiken der BlackMatter-Ransomware

In der Untersuchung beschreiben die Sophos-Forscher außerdem, wie die von der BlackMatter-Ransomware verwendeten Taktiken, Techniken und Verfahren (TTPs) denen von DarkSide, REvil und LockBit 2.0 ähneln. So präsentiert sich etwa ein “Zurücksetzen” des Hintergrundbildes in der Lösegeldforderung, das dem von DarkSide technisch sehr ähnlich ist. Ein Ansatz zur Multithreading-Dateiverschlüsselung erinnert ebenfalls DarkSide. Der Missbrauch des “abgesicherten Modus”, wiederum gleicht sehr dem von REvil verwendeten Ansatz. Zudem zeigt sich eine Ausweitung der Rechte der Benutzerkontensteuerung (UAC), wie sie schon bei den Angriffen von DarkSide und LockBit 2.0 beobachtet wurde. Auch die Verschlüsselung von Code-Strings, um eine statische Erkennung zu erschweren, gab es bereits bei DarkSide und REvil.

BlackMatter-Struktur ähnelt DarkSide

Mark Loman, Director of Engineering bei Sophos, bewertet die Ergebnisse so: „Unsere Analyse der Malware zeigt, dass es zwar Ähnlichkeiten mit DarkSide Ransomware gibt, der Code aber nicht identisch ist. Wie die mutmaßlichen Betreiber hinter der Ransomware behauptet haben, gibt es auch Ähnlichkeiten mit REvil und LockBit 2.0. Wir haben aber auch einige Merkmale gefunden, mit denen sich BlackMatter unterscheidet. Eines davon ist die Fähigkeit, Dateiberechtigungen zurückzusetzen, so dass jeder ein Dokument sehen kann. Eine Einstellung, an die IT-Administratoren denken müssen, um sie nach der Wiederherstellung von Dateien zurückzusetzen.“

Mehr bei Sophos.com

 


Über Sophos

Mehr als 100 Millionen Anwender in 150 Ländern vertrauen auf Sophos. Wir bieten den besten Schutz vor komplexen IT-Bedrohungen und Datenverlusten. Unsere umfassenden Sicherheitslösungen sind einfach bereitzustellen, zu bedienen und zu verwalten. Dabei bieten sie die branchenweit niedrigste Total Cost of Ownership. Das Angebot von Sophos umfasst preisgekrönte Verschlüsselungslösungen, Sicherheitslösungen für Endpoints, Netzwerke, mobile Geräte, E-Mails und Web. Dazu kommt Unterstützung aus den SophosLabs, unserem weltweiten Netzwerk eigener Analysezentren. Die Sophos Hauptsitze sind in Boston, USA, und Oxford, UK.


 

Passende Artikel zum Thema

Robotik, KI oder Firmenwagen – wo Manager Cybergefahren sehen

Deutsche und Schweizer C-Level Manager sehen besonders für das Home-Office Handlungsbedarf, um dort in der Zukunft sensible Daten besser zu ➡ Weiterlesen

Schutzlösungen für MacOS Sonoma im Test

Der große Test von Schutz-Software für Unternehmen und Einzelplatz-PCs für MacOS fand im AV-TEST-Labor erstmals unter der MacOS Version Sonoma ➡ Weiterlesen

BSI: Neue Studie zu Hardware-Trojaner 

Das BSI hat eine Studie veröffentlicht zu Manipulationsmöglichkeiten von Hardware in verteilten Fertigungsprozessen. Dabei geht es um versteckte Chips auf ➡ Weiterlesen

Intel schließt kritische und hochgefährliche Sicherheitslücken

Fast etwas unauffällig hat Intel viele Sicherheitslücken in seinen Produkten geschlossen. Mit dabei sind eine kritische Lücke mit dem CVSS-Wert ➡ Weiterlesen

BSI und Zero Day Initiative warnt vor kritischer Azure Schwachstelle  

Die Zero Day Initiative (ZDI) sammelt und verifiziert gemeldete Schwachstellen. Nun gibt es wohl eine kritische Schwachstelle in Azure mit dem ➡ Weiterlesen

Hoffnung für Unternehmen: FBI hat 7.000 LockBit Ransomware-Keys

Bereits im Februar und im Mai startete FBI, Europol und viele andere Behörden die Operationen gegen die Ransomware-Erpresser LockBit. Dabei ➡ Weiterlesen

Google-Leak: Datenbank belegt Datenpannen

Einem Journalist wurde eine Google-Datenbank zugespielt die tausende interne Datenpannen von 2013 bis 2018 enthalten und intern bei Google gelöst ➡ Weiterlesen

Keylogger stiehlt bei Exchange Servern Login-Daten

Das Incident Response Team des PT ESC hat einen neuartigen Keylogger in der Hauptseite eines Microsoft Exchange Servers entdeckt. Jeder ➡ Weiterlesen