In einer neuen Analyse geben die Experten der Sophoslabs einen Einblick in die Ransomware Blackmatter: demnach bestehen Ähnlichkeiten zur Darkside-Ransomware-as-a-Service (RaaS) und zu anderen Malwaregruppen wie REvil und Lockbit 2.0. Viele Funktionen sind hierbei ähnlich, Details bleiben trotzdem individuell.
„Diese neue Ransomware-as-a-Service-Familie steckt noch in den Kinderschuhen, aber unsere Ergebnisse deuten darauf hin, dass diese Ransomware in den Händen eines erfahrenen Angreifers großen Schaden anrichten kann.“ Mark Loman, Director of Engineering bei Sophos.
Wie hängen Blackmatter und die Darkside-RaaS zusammen? Sophos veröffentlicht Details, die auf den Analysen der Sophoslabs zur Blackmatter-Schadsoftware beruhen, sowie auf den Erkenntnissen, die das Rapid-Response-Team aus einem Vorfall zog, in den Blackmatter involviert war. Die Analyse beschreibt unter anderem neue, bislang unentdeckte Funktionen der Blackmatter-Ransomware, wie sie die Dateiberechtigungen für jedes verschlüsselte Dokument zurücksetzt, um der Gruppe „Jeder“ vollen Zugriff zu gewähren. Darüber hinaus geht es um Details, wie die Schadware über das gesamte Netzwerk verteilt wird sowie Informationen zu den Prozessen, die vor Bereitstellung der Ransomware beendet werden.
In der Untersuchung beschreiben die Sophos-Forscher außerdem, wie die von der Blackmatter-Ransomware verwendeten Taktiken, Techniken und Verfahren (TTPs) denen von Darkside, REvil und Lockbit 2.0 ähneln. So präsentiert sich etwa ein „Zurücksetzen“ des Hintergrundbildes in der Lösegeldforderung, das dem von Darkside technisch sehr ähnlich ist. Ein Ansatz zur Multithreading-Dateiverschlüsselung erinnert ebenfalls Darkside. Der Missbrauch des „abgesicherten Modus“, wiederum gleicht sehr dem von REvil verwendeten Ansatz. Zudem zeigt sich eine Ausweitung der Rechte der Benutzerkontensteuerung (UAC), wie sie schon bei den Angriffen von DarkSide und LockBit 2.0 beobachtet wurde. Auch die Verschlüsselung von Code-Strings, um eine statische Erkennung zu erschweren, gab es bereits bei Darkside und REvil.
Mark Loman, Director of Engineering bei Sophos, bewertet die Ergebnisse so: „Unsere Analyse der Malware zeigt, dass es zwar Ähnlichkeiten mit Darkside-Ransomware gibt, der Code aber nicht identisch ist. Wie die mutmaßlichen Betreiber hinter der Ransomware behauptet haben, gibt es auch Ähnlichkeiten mit REvil und Lockbit 2.0. Wir haben aber auch einige Merkmale gefunden, mit denen sich Blackmatter unterscheidet. Eines davon ist die Fähigkeit, Dateiberechtigungen zurückzusetzen, so dass jeder ein Dokument sehen kann. Eine Einstellung, an die IT-Administratoren denken müssen, um sie nach der Wiederherstellung von Dateien zurückzusetzen.“
Die vollständige Analyse zur Blackmatter Ransomware findet sich hier: BlackMatter ransomware emerges from the shadow of DarkSide
#Sophos
