18.08.2021 – Kategorie: IT-Sicherheit
BlackMatter: Ransomware tritt aus dem DarkSide-Schatten
Quelle: Andrey Popov/shutterstockIn einer neuen Analyse geben die Experten von SophosLabs einen Einblick in die Ransomware BlackMatter. Demnach bestehen Ähnlichkeiten zur DarkSide Ransomware-as-a-Service (RaaS) und zu anderen Malware-Gruppen wie REvil und LockBit 2.0. Viele Funktionen sind hierbei ähnlich.
Wie hängen BlackMatter und die DarkSide RaaS zusammen? Sophos veröffentlicht Details, die auf den Analysen der Sophos Labs zur BlackMatter Schadsoftware beruhen. Und auch auf den Erkenntnissen, die das Rapid Response Team aus einem Vorfall zog, in den BlackMatter involviert war. Die Analyse beschreibt unter anderem neue, bislang unentdeckte Funktionen der Ransomware BlackMatter. Hierzu gehört das Zurücksetzen der Dateiberechtigungen für jedes verschlüsselte Dokument, um der Gruppe „Jeder“ vollen Zugriff zu gewähren. Darüber hinaus geht es um Details, wie die Schadware über das gesamte Netzwerk verteilt wird sowie Informationen zu den Prozessen, die vor Bereitstellung der Ransomware beendet werden.
Techniken von BlackMatter ähneln denen von DarkSide, REvil und LockBit 2.0
In der Untersuchung beschreiben die Sophos-Forscher außerdem, wie die von der BlackMatter-Ransomware verwendeten Taktiken, Techniken und Verfahren (TTPs) denen von DarkSide, REvil und LockBit 2.0 ähneln. So präsentiert sich etwa ein „Zurücksetzen“ des Hintergrundbildes in der Lösegeldforderung, das dem von DarkSide technisch sehr ähnlich ist. Ein Ansatz zur Multithreading-Dateiverschlüsselung erinnert ebenfalls DarkSide.
Der Missbrauch des „abgesicherten Modus“, wiederum gleicht sehr dem von REvil verwendeten Ansatz. Zudem zeigt sich eine Ausweitung der Rechte der Benutzerkontensteuerung (UAC), wie die Forscher schon bei den Angriffen von DarkSide und LockBit 2.0 beobachtet haben. Auch die Verschlüsselung von Code-Strings, um eine statische Erkennung zu erschweren, gab es bereits bei DarkSide und REvil.
Analyse der Ransomware auf Unterschiede
Mark Loman, Director of Engineering bei Sophos, bewertet die Ergebnisse so: „Unsere Analyse der Malware zeigt, dass es zwar Ähnlichkeiten mit DarkSide Ransomware gibt, der Code aber nicht identisch ist. Wie die mutmaßlichen Betreiber hinter der Ransomware behauptet haben, gibt es auch Ähnlichkeiten mit REvil und LockBit 2.0. Wir haben aber auch einige Merkmale gefunden, mit denen sich BlackMatter unterscheidet. Eines davon ist die Fähigkeit, Dateiberechtigungen zurückzusetzen, so dass jeder ein Dokument sehen kann. Eine Einstellung, an die IT-Administratoren denken müssen, um sie nach der Wiederherstellung von Dateien zurückzusetzen.“ (sg)
Lesen Sie auch: Threat Detection: Sophos erweitert Security-Portfolio um Extended Detection and Response
Teilen Sie die Meldung „BlackMatter: Ransomware tritt aus dem DarkSide-Schatten“ mit Ihren Kontakten:
