BlackMatter: Ransomware tritt aus dem DarkSide-Schatten

Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp
Share on email
Share on print

BlackMatter: Ransomware tritt aus dem DarkSide-Schatten

Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp
Share on email
Share on print
In einer neuen Analyse geben die Experten von SophosLabs einen Einblick in die Ransomware BlackMatter. Demnach bestehen Ähnlichkeiten zur DarkSide Ransomware-as-a-Service (RaaS) und zu anderen Malware-Gruppen wie REvil und LockBit 2.0. Viele Funktionen sind hierbei ähnlich.
Blackmatter Ransomware-Angriff

Quelle: Andrey Popov/shutterstock

Wie hängen BlackMatter und die DarkSide RaaS zusammen? Sophos veröffentlicht Details, die auf den Analysen der Sophos Labs zur BlackMatter Schadsoftware beruhen. Und auch auf den Erkenntnissen, die das Rapid Response Team aus einem Vorfall zog, in den BlackMatter involviert war. Die Analyse beschreibt unter anderem neue, bislang unentdeckte Funktionen der Ransomware BlackMatter. Hierzu gehört das Zurücksetzen der Dateiberechtigungen für jedes verschlüsselte Dokument, um der Gruppe „Jeder“ vollen Zugriff zu gewähren. Darüber hinaus geht es um Details, wie die Schadware über das gesamte Netzwerk verteilt wird sowie Informationen zu den Prozessen, die vor Bereitstellung der Ransomware beendet werden.

Techniken von BlackMatter ähneln denen von DarkSide, REvil und LockBit 2.0

In der Untersuchung beschreiben die Sophos-Forscher außerdem, wie die von der BlackMatter-Ransomware verwendeten Taktiken, Techniken und Verfahren (TTPs) denen von DarkSide, REvil und LockBit 2.0 ähneln. So präsentiert sich etwa ein „Zurücksetzen“ des Hintergrundbildes in der Lösegeldforderung, das dem von DarkSide technisch sehr ähnlich ist. Ein Ansatz zur Multithreading-Dateiverschlüsselung erinnert ebenfalls DarkSide.

Der Missbrauch des „abgesicherten Modus“, wiederum gleicht sehr dem von REvil verwendeten Ansatz. Zudem zeigt sich eine Ausweitung der Rechte der Benutzerkontensteuerung (UAC), wie die Forscher schon bei den Angriffen von DarkSide und LockBit 2.0 beobachtet haben. Auch die Verschlüsselung von Code-Strings, um eine statische Erkennung zu erschweren, gab es bereits bei DarkSide und REvil.

Analyse der Ransomware auf Unterschiede

Mark Loman, Director of Engineering bei Sophos, bewertet die Ergebnisse so: „Unsere Analyse der Malware zeigt, dass es zwar Ähnlichkeiten mit DarkSide Ransomware gibt, der Code aber nicht identisch ist. Wie die mutmaßlichen Betreiber hinter der Ransomware behauptet haben, gibt es auch Ähnlichkeiten mit REvil und LockBit 2.0. Wir haben aber auch einige Merkmale gefunden, mit denen sich BlackMatter unterscheidet. Eines davon ist die Fähigkeit, Dateiberechtigungen zurückzusetzen, so dass jeder ein Dokument sehen kann. Eine Einstellung, an die IT-Administratoren denken müssen, um sie nach der Wiederherstellung von Dateien zurückzusetzen.“ (sg)

Lesen Sie auch: Threat Detection: Sophos erweitert Security-Portfolio um Extended Detection and Response

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on xing
XING
Share on whatsapp
WhatsApp
Share on email
E-Mail
Share on print
Drucken

Andere Leser haben sich auch für die folgenden Artikel interessiert

Ist die Pandemie ein Treiber für Digitalisierung und künstliche Intelligenz? Tatsächlich wünscht sich nach eineinhalb Jahren Pandemie der Großteil der Deutschen intelligente Lösungen, die den Alltag erleichtern. Und sie sind bereit, dafür persönliche Daten preiszugeben, zeigt eine neue Umfrage von adesso.

Redaktionsbrief

Tragen Sie sich zu unserem Redaktionsbrief ein, um auf dem Laufenden zu bleiben.

Aktuelle Ausgabe

Topthema: Communication & Collaboration

Wie der produktive Sprung in die neue Arbeitswelt gelingt

Mehr erfahren

Wir wollen immer besser werden!

Deshalb fragen wir SIE, was Sie wollen!

Nehmen Sie an unserer Umfrage teil, und helfen Sie uns noch besser zu werden!

zur Umfrage

Entdecken Sie weitere Magazine

Schön, dass Sie sich auch für weitere Fachmagazine unseres Verlages interessieren.

Unsere Fachtitel beleuchten viele Aspekte der Digitalen Transformation entlang der Wertschöpfungskette und sprechen damit unterschiedliche Leserzielgruppen an.