Ransomware-as-a-Service: BlackMatter

Sophos News
Anzeige

Beitrag teilen

Ransomware-as-a-Service: BlackMatter tritt aus dem DarkSide-Schatten. In einer neuen Analyse geben die Experten der SophosLabs einen Einblick in die Ransomware BlackMatter.

Demnach bestehen Ähnlichkeiten zur DarkSide Ransomware-as-a-Service (RaaS) und zu anderen Malwaregruppen wie REvil und LockBit 2.0. Viele Funktionen sind hierbei ähnlich, Details bleiben trotzdem individuell.

Anzeige

BlackMatter vs. DarkSide RaaS

Wie hängen BlackMatter und die DarkSide RaaS zusammen? Sophos veröffentlicht Details, die auf den Analysen der Sophos Labs zur BlackMatter Schadsoftware beruhen, sowie auf den Erkenntnissen, die das Rapid Response Team aus einem Vorfall zog, in den BlackMatter involviert war. Die Analyse beschreibt unter anderem neue, bislang unentdeckte Funktionen der BlackMatter Ransomware, wie sie die Dateiberechtigungen für jedes verschlüsselte Dokument zurücksetzt, um der Gruppe „Jeder“ vollen Zugriff zu gewähren. Darüber hinaus geht es um Details, wie die Schadware über das gesamte Netzwerk verteilt wird sowie Informationen zu den Prozessen, die vor Bereitstellung der Ransomware beendet werden.

Taktiken der BlackMatter-Ransomware

In der Untersuchung beschreiben die Sophos-Forscher außerdem, wie die von der BlackMatter-Ransomware verwendeten Taktiken, Techniken und Verfahren (TTPs) denen von DarkSide, REvil und LockBit 2.0 ähneln. So präsentiert sich etwa ein „Zurücksetzen“ des Hintergrundbildes in der Lösegeldforderung, das dem von DarkSide technisch sehr ähnlich ist. Ein Ansatz zur Multithreading-Dateiverschlüsselung erinnert ebenfalls DarkSide. Der Missbrauch des „abgesicherten Modus“, wiederum gleicht sehr dem von REvil verwendeten Ansatz. Zudem zeigt sich eine Ausweitung der Rechte der Benutzerkontensteuerung (UAC), wie sie schon bei den Angriffen von DarkSide und LockBit 2.0 beobachtet wurde. Auch die Verschlüsselung von Code-Strings, um eine statische Erkennung zu erschweren, gab es bereits bei DarkSide und REvil.

Anzeige

BlackMatter-Struktur ähnelt DarkSide

Mark Loman, Director of Engineering bei Sophos, bewertet die Ergebnisse so: „Unsere Analyse der Malware zeigt, dass es zwar Ähnlichkeiten mit DarkSide Ransomware gibt, der Code aber nicht identisch ist. Wie die mutmaßlichen Betreiber hinter der Ransomware behauptet haben, gibt es auch Ähnlichkeiten mit REvil und LockBit 2.0. Wir haben aber auch einige Merkmale gefunden, mit denen sich BlackMatter unterscheidet. Eines davon ist die Fähigkeit, Dateiberechtigungen zurückzusetzen, so dass jeder ein Dokument sehen kann. Eine Einstellung, an die IT-Administratoren denken müssen, um sie nach der Wiederherstellung von Dateien zurückzusetzen.“

Mehr bei Sophos.com

 


Über Sophos

Mehr als 100 Millionen Anwender in 150 Ländern vertrauen auf Sophos. Wir bieten den besten Schutz vor komplexen IT-Bedrohungen und Datenverlusten. Unsere umfassenden Sicherheitslösungen sind einfach bereitzustellen, zu bedienen und zu verwalten. Dabei bieten sie die branchenweit niedrigste Total Cost of Ownership. Das Angebot von Sophos umfasst preisgekrönte Verschlüsselungslösungen, Sicherheitslösungen für Endpoints, Netzwerke, mobile Geräte, E-Mails und Web. Dazu kommt Unterstützung aus den SophosLabs, unserem weltweiten Netzwerk eigener Analysezentren. Die Sophos Hauptsitze sind in Boston, USA, und Oxford, UK.


 

Passende Artikel zum Thema

86 Prozent wollen ihr IT-Sicherheitsbudget bis 2024 erhöhen

Vielen Unternehmen sind die betrieblichen Gefahren durch IT-Vorfälle bewusst. Sie planen Investitionen in Technik und Know-how und nähern sich auch ➡ Weiterlesen

Dreifach Strafe: Ransomware-Erpressung, Datenverlust, Strafgebühren

Nachlässige Unternehmen sind schnell dreifach bestraft: erst die Ransomware-Erpressung, dann der Datenverlust und zu guter Letzt die Strafgebühr für einen ➡ Weiterlesen

Finanzbetrug mit Liquidity Mining – Betrugsmasche im Krypto-Hype

Sophos erklärt in seiner Untersuchung wie Liquidity Mining - der neueste Krypto-Währungs-Investitionswahnsinn - von Cyberkriminellen als Plattform genutzt wird. „Die ➡ Weiterlesen

Threat Hunting: Fünf Schritte für die erfolgreiche Jagd

Threat Hunting und ein effektiver Notfallplan erhöhen die Security für Unternehmen und reduziert die Auswirkungen von Cyberattacken maßgeblich. Schließlich haben ➡ Weiterlesen

Sophos-Studienergebnisse zu reaktivierten Emotet Botnets

Sicherheitsforscher in den SophosLabs haben sich intensiv mit den aktuellen Aktivitäten des reaktivierten Emotet Botnets befasst. Sie beschreiben, wie Emotet aktuell ➡ Weiterlesen

Sophos Firewall mit noch mehr Netzwerkleistung und -flexibilität

Sophos hat heute eine neue Version der Sophos Firewall mit Xstream Software-Defined Wide Area Network (SD-WAN)-Funktionen und Virtual Private Network ➡ Weiterlesen

Studie: Zwei von drei Unternehmen waren bereits Ransomware-Opfer

Die neue Sophos-Studie „State of Ransomware 2022" belegt: 67 Prozent der deutschen Unternehmen waren bereits von Erpressermalware betroffen. 2020 waren ➡ Weiterlesen

Cybercrime-Trainees bereiten Attacke vor?

Effektive Arbeitsteilung oder Anzucht von Cybercrime-Trainees? Nach einer eher stümperhafter Netzwerkinfiltration übernehmen abschließend die Profis mit Lockbit Ransomware. Den Sophos Forscher ist ➡ Weiterlesen