Hizmet Olarak Fidye Yazılımı: BlackMatter, DarkSide gölgesinden çıkar. Yeni bir analizde SophosLabs uzmanları, BlackMatter fidye yazılımına ilişkin bir fikir veriyor.
Buna göre, DarkSide Ransomware-as-a-Service (RaaS) ve REvil ve LockBit 2.0 gibi diğer kötü amaçlı yazılım grupları ile benzerlikler vardır. Birçok işlev burada benzerdir, ancak ayrıntılar bireysel kalır.
BlackMatter ve DarkSide RaaS
BlackMatter ve DarkSide RaaS nasıl ilişkilidir? Sophos, Sophos Labs'ın BlackMatter kötü amaçlı yazılımına ilişkin analizine ve BlackMatter'ın karıştığı bir olaydan Hızlı Müdahale Ekibinin bulgularına dayanan ayrıntıları yayınlıyor. Diğer şeylerin yanı sıra analiz, BlackMatter fidye yazılımının "Herkes" grubuna tam erişim vermek için her şifrelenmiş belge için dosya izinlerini sıfırlamak gibi yeni, daha önce keşfedilmemiş işlevlerini açıklıyor. Ayrıca, kötü amaçlı yazılımın ağ genelinde nasıl dağıtıldığı ve fidye yazılımı dağıtılmadan önce sonlandırılan işlemler hakkında ayrıntılar sağlar.
BlackMatter fidye yazılımı taktikleri
Araştırmada Sophos araştırmacıları, BlackMatter fidye yazılımı tarafından kullanılan taktiklerin, tekniklerin ve prosedürlerin (TTP'ler) DarkSide, REvil ve LockBit 2.0 tarafından kullanılanlara nasıl benzediğini de açıklıyor. Örneğin, teknik olarak DarkSide'a çok benzeyen fidye notunda arka plan görüntüsünün "sıfırlanması" vardır. Çok iş parçacıklı dosya şifrelemeye yönelik bir yaklaşım da DarkSide'ı hatırlatır. "Güvenli modun" kötüye kullanılması, yine REvil tarafından kullanılan yaklaşıma çok benzer. Ek olarak, DarkSide ve LockBit 2.0 saldırılarında zaten gözlemlendiği gibi, kullanıcı hesabı denetimi (UAC) haklarının genişletilmesi söz konusudur. DarkSide ve REvil ayrıca statik algılamayı daha zor hale getirmek için kod dizilerini zaten şifreliyor.
BlackMatter yapısı DarkSide'a benzer
Sophos Mühendislik Direktörü Mark Loman, sonuçları şu şekilde değerlendiriyor: "Kötü amaçlı yazılım analizimiz, DarkSide fidye yazılımıyla benzerlikler olsa da kodun aynı olmadığını gösteriyor. Fidye yazılımının arkasındaki iddia edilen operatörlerin iddia ettiği gibi, REvil ve LockBit 2.0 ile benzerlikler de var. Ancak BlackMatter'ı farklı kılan bazı özellikler de bulduk. Bunlardan biri, herkesin bir belgeyi görebilmesi için dosya izinlerini sıfırlama yeteneğidir. BT yöneticilerinin dosyaları geri yükledikten sonra sıfırlamayı hatırlaması gereken bir ayar."
Daha fazlası Sophos.com'da
Sophos Hakkında Sophos, 100 ülkede 150 milyondan fazla kullanıcı tarafından güvenilmektedir. Karmaşık BT tehditlerine ve veri kaybına karşı en iyi korumayı sunuyoruz. Kapsamlı güvenlik çözümlerimizin kurulumu, kullanımı ve yönetimi kolaydır. Sektördeki en düşük toplam sahip olma maliyetini sunarlar. Sophos uç noktalar, ağlar, mobil cihazlar, e-posta ve web için ödüllü şifreleme çözümleri ve güvenlik çözümleri sunar. Tescilli analiz merkezlerinden oluşan küresel ağımız SophosLabs'tan da destek var. Sophos'un genel merkezi Boston, ABD ve Oxford, İngiltere'dedir.