Програма-вимагач як послуга: BlackMatter виходить із тіні DarkSide. У новому аналізі експерти SophosLabs надають розуміння програми-вимагача BlackMatter.
Відповідно, є схожість з DarkSide Ransomware-as-a-Service (RaaS) та іншими групами зловмисного програмного забезпечення, такими як REvil і LockBit 2.0. Багато функцій тут схожі, але деталі залишаються індивідуальними.
BlackMatter проти DarkSide RaaS
Як пов’язані між собою BlackMatter і DarkSide RaaS? Sophos публікує подробиці на основі аналізу зловмисного програмного забезпечення BlackMatter, проведеного лабораторіями Sophos, і висновків групи швидкого реагування щодо інциденту, пов’язаного з BlackMatter. Серед іншого, аналіз описує нові, раніше невідомі функції програми-вимагача BlackMatter, такі як скидання прав доступу до файлів для кожного зашифрованого документа, щоб надати групі «Кожен» повний доступ. Він також надає детальну інформацію про те, як зловмисне програмне забезпечення поширюється в мережі та процеси, які завершуються перед розгортанням програми-вимагача.
Тактика програми-вимагача BlackMatter
У розслідуванні дослідники Sophos також описують, наскільки тактика, методи та процедури (TTP), які використовує програма-вимагач BlackMatter, подібні до тих, які використовують DarkSide, REvil і LockBit 2.0. Наприклад, є «скидання» фонового зображення в записці про викуп, що технічно дуже схоже на DarkSide. Підхід до багатопотокового шифрування файлів також нагадує DarkSide. Зловживання «безпечним режимом», знову ж таки, дуже схоже на підхід, використаний REvil. Крім того, є розширення прав контролю облікових записів користувачів (UAC), як це вже спостерігалося в атаках DarkSide і LockBit 2.0. DarkSide і REvil також уже шифрують рядки коду, щоб ускладнити статичне виявлення.
Структура BlackMatter схожа на DarkSide
Марк Ломан, директор з розробки Sophos, оцінює результати так: «Наш аналіз зловмисного програмного забезпечення показує, що, незважаючи на схожість з програмою-вимагачем DarkSide, код не ідентичний. Як стверджували передбачувані оператори, що стоять за програмою-вимагачем, також є схожість із REvil і LockBit 2.0. Однак ми також знайшли деякі особливості, які відрізняють BlackMatter. Однією з них є можливість скинути права доступу до файлів, щоб будь-хто міг побачити документ. ІТ-адміністратори повинні пам’ятати про скидання параметрів після відновлення файлів».
Більше на Sophos.com
Про Софос Sophos довіряють понад 100 мільйонів користувачів у 150 країнах. Ми пропонуємо найкращий захист від складних ІТ-загроз і втрати даних. Наші комплексні рішення безпеки прості в розгортанні, використанні та керуванні. Вони пропонують найнижчу сукупну вартість володіння в галузі. Sophos пропонує відзначені нагородами рішення для шифрування, рішення безпеки для кінцевих точок, мереж, мобільних пристроїв, електронної пошти та Інтернету. Також є підтримка від SophosLabs, нашої глобальної мережі власних аналітичних центрів. Штаб-квартири Sophos знаходяться в Бостоні, США, та Оксфорді, Великобританія.