BlackMatter Ransomware-Erkennung
Inhaltsverzeichnis:
BlackMatter-Ransomware ist auf dem Vormarsch und trifft hochkarätige Ziele in den USA, Europa und Asien. Als Ableger des berüchtigten DarkSide-Hacker-Kollektivs hat BlackMatter die produktivsten Taktiken seines Vorgängers übernommen, um im Juli 2021 ins große Ransomware-Geschäft einzusteigen. Die gemeinsame Beratung von CISA, FBI und NSA schreibt BlackMatter mehrere Angriffe auf kritische Infrastrukturen in den USA zu. Sicherheitsexperten weisen auch darauf hin, dass die BlackMatter-Ransomware-Gruppe möglicherweise in den bahnbrechenden Colonial Pipeline Hack verwickelt war.
BlackMatter Ransomware
Erstmals im Juli 2021 entdeckt, ist BlackMatter ein neuer Ransomware-as-a-Service (RaaS)-Verbund, der nach gewichtigen Gewinnen jagt. Trotz seiner Rolle als neuer Akteur in der bösartigen Szene hat BlackMatter bereits zahlreiche namhafte Organisationen ins Visier genommen, darunter zwei US-amerikanische Organisationen aus dem Lebensmittel- und Agrarsektor sowie die europäischen Betriebsstätten des japanischen Optiktechnologie-Giganten Olympus. Die Lösegeldforderungen reichen von 80.000 bis 15.000.000 USD in Bitcoin und Monero, was beweist, dass BlackMatter hart zuschlägt und große Erfolge anstrebt.
Um zur Bekanntheit von BlackMatter beizutragen, unterstützen die Ransomware-Betreiber den Trend der doppelten Erpressung. Hacker verschlüsseln nicht nur sensible Daten während des Angriffs, sondern stehlen auch vertrauliche Informationen. Infolgedessen werden Unternehmen gezwungen, das Lösegeld zu zahlen, um Datenlecks zu verhindern.
Sicherheitsexperten glauben, dass BlackMatter eine Umbenennung der berüchtigten DarkSide-Gruppe sein könnte, da bei der Malware-Analyse signifikante Überschneidungen im Code und in den Techniken beobachtet wurden. Dennoch behaupten die BlackMatter-Betreiber, eine unabhängige Gruppe von Entwicklern zu sein, die die besten Ansätze anderer Malware, wie GandCrab, LockBit, und DarkSide.
Angriffskette
Laut CISA nutzt BlackMatter eingebettete Admin- oder Benutzeranmeldedaten für den initialen Kompromittierungsprozess. Insbesondere werden die eingebetteten Anmeldedaten im LDAP- und SMB-Protokoll verwendet, um alle Hosts im Active Directory (AD) zu entdecken, und die srvsvc.NetShareEnumAll Microsoft Remote Procedure Call (MSRPC)-Funktion, um jeden Host auf zugängliche Freigaben zu durchsuchen. Anschließend verschlüsselt BlackMatter alle Daten der zugänglichen Freigaben vom zunächst kompromittierten Host aus remote, einschließlich ADMIN$, C$, SYSVOL und NETLOGON.
Darüber hinaus wurde festgestellt, dass BlackMatter erfolgreich Angriffe auf Linux- und ESXi-Virtualisierungsgäste durchführt. Der Bedrohungsakteur verwendet ein separates Verschlüsselungsprogramm und vernichtet oder formatiert Datenspeicher und Geräte der Backup-Systeme anstatt diese zu verschlüsseln.
Bemerkenswert ist, dass im Oktober 2021 das Cybersicherheitsunternehmen Emisfoft einen großen Fehler im BlackMatter-Code enthüllte, der es Forschern ermöglichte, einen Entschlüsseler für Opfer der BlackMatter-Ransomware zu erstellen. Emisoft hat sofort die Strafverfolgungsbehörden, CERTS und vertrauenswürdige Partner informiert, damit sie Unternehmen helfen können, Daten kostenlos wiederherzustellen, ohne das Lösegeld bezahlen zu müssen. Die BlackMatter-Betreiber erfuhren jedoch Ende September 2021 von dem Fehler und behoben ihn umgehend. Daher funktioniert der vorhandene Entschlüsseler nur für Opfer, die vor September 2021 einem Angriff ausgesetzt waren.
Erkennung von BlackMatter Ransomware
Um Ihre Unternehmensinfrastruktur vor möglichen BlackMatter-Infektionen zu schützen, können Sie ein Set von Sigma-Regeln herunterladen, die von unseren erfahrenen Threat Bounty Entwicklern entwickelt wurden.
BlackMatter Ransomware der DarkSide-Registry-Erkennung
BlackMatter-Technik durch Registry-Änderung zur Implementierung der Admin-Anmeldung
BlackMatter-Technik durch Verwendung des Bcdedit-Befehls zur Rückkehr in den normalen Modus
BlackMatter Ransomware (über registry_event)
Erkennen Sie BlackMatter, verwenden Sie LDAP-Abfragen, um auf den Schcache-Ordner zuzugreifen
Wir empfehlen Ihnen auch, die Industrieleitlinien: Verteidigung gegen Ransomware-Angriffe im Jahr 2021 bereitzustellen durch Vlad Garaschenko, CISO bei SOC Prime. Diese Leitlinien beinhalten bewährte Praktiken zur Ransomware-Abwehr und bieten die neuesten Erkennungen gegen Ransomware-Angriffe, um führenden MSPs und Organisationen in verschiedenen Sektoren zu helfen, branchenspezifischen Angriffen proaktiv entgegenzuwirken.
Entdecken Sie die weltweit erste Plattform für kollaborative Cyberabwehr, Bedrohungserkennung und -entdeckung zur Verbesserung der Bedrohungserkennungskapazitäten und zur Verteidigung gegen Angriffe einfacher, schneller und effizienter. Möchten Sie Ihre eigenen Sigma- und YARA-Regeln erstellen, um die Welt zu einem sichereren Ort zu machen? Treten Sie unserem Threat Bounty Programm bei, um wiederkehrende Belohnungen für Ihren wertvollen Beitrag zu erhalten!
