Detección de Ransomware BlackMatter

El ransomware BlackMatter está en auge, atacando objetivos de alto perfil en Estados Unidos, Europa y Asia. Siendo un vástago del infame colectivo de hackers DarkSide, BlackMatter adoptó las tácticas más prolíficas de su predecesor para irrumpir en el gran juego del ransomware durante julio de 2021. La junta asesoría de CISA, FBI y NSA atribuye múltiples ataques a activos de infraestructura crítica de EE.UU. a BlackMatter. Además, expertos en seguridad señalan que el grupo de ransomware BlackMatter podría haber estado involucrado en el innovador hackeo de Colonial Pipeline.

Ransomware BlackMatter

Detectado por primera vez en julio de 2021, BlackMatter es un nuevo anillo de Ransomware-como-Servicio (RaaS) que busca grandes beneficios. A pesar de ser un jugador nuevo en la arena maliciosa, BlackMatter ya ha apuntado a numerosas organizaciones de renombre, incluidas dos organizaciones del sector alimentario y agrícola de EE.UU., así como las operaciones europeas del gigante japonés de tecnología óptica Olympus. Las demandas de rescate oscilan entre $80,000 y $15,000,000 en Bitcoin y Monero, demostrando que BlackMatter está golpeando fuerte y buscando grandes objetivos.

Para sumar a la notoriedad de BlackMatter, los mantenedores de ransomware apoyan la tendencia de doble extorsión. Los hackers no solo cifran datos sensibles durante el ataque, sino que también roban detalles confidenciales. Como resultado, las empresas se ven forzadas a pagar el rescate para prevenir filtraciones de datos.

Los expertos en seguridad creen que BlackMatter podría ser una rebranding del notorio grupo DarkSide debido a superposiciones significativas de código y técnicas observadas durante el análisis de malware. Sin embargo, los mantenedores de BlackMatter afirman ser un grupo independiente de desarrolladores que adoptaron los mejores enfoques de otros malware como GandCrab, LockBit, y DarkSide. 

Cadena de Eliminación de Ataques

Según CISA, BlackMatter aprovecha las credenciales de administrador o usuario incrustadas para el compromiso inicial. En particular, las credenciales incrustadas en el protocolo LDAP y SMB se utilizan para descubrir todos los hosts en el Directorio Activo (AD) y la función srvsvc.NetShareEnumAll de Microsoft Remote Procedure Call (MSRPC) para enumerar cada host para los recursos compartidos accesibles. Luego, BlackMatter cifra remotamente los datos de todos los recursos compartidos accesibles desde el host comprometido inicialmente, incluidos ADMIN$, C$, SYSVOL y NETLOGON.

Además, se identificó que BlackMatter tuvo éxito en ataques contra máquinas virtuales Linux y ESXi. La amenaza utiliza un binario de cifrado separado, y en lugar de cifrar los sistemas de respaldo, los adversarios borran o reformatan los almacenes de datos y dispositivos de respaldo.

Notablemente, en octubre de 2021, la firma de ciberseguridad Emisfoft reveló un importante error en el código de BlackMatter que permitió a los investigadores producir un descifrador para las víctimas de ransomware BlackMatter. Emisfoft alertó de inmediato a las fuerzas del orden, CERTS y a socios de confianza para que puedan ayudar a las organizaciones a restaurar datos sin pagar el rescate. Sin embargo, los mantenedores de BlackMatter se enteraron del error a finales de septiembre de 2021 y lo corrigieron rápidamente. Por lo tanto, el descifrador existente solo funciona para las víctimas que sufrieron un ataque antes de septiembre de 2021.

Detección de Ransomware BlackMatter

Para proteger la infraestructura de su empresa de posibles infecciones de BlackMatter, puede descargar un conjunto de reglas Sigma desarrolladas por nuestros desarrolladores experimentados de Threat Bounty.

Ransomware BlackMatter del Registro de DarkSide Detect

Técnica BlackMatter mediante modificación del registro para implementar inicio de sesión de administrador

Técnica BlackMatter al usar el comando Bcdedit para volver al modo de inicio normal

Ransomware BlackMatter (a través de registry_event)

Detectar BlackMatter, usar consultas LDAP para acceder a la carpeta Schcache

Además, le recomendamos que inspeccione las Directrices de la Industria: Defensa contra Ataques de Ransomware en 2021 proporcionadas por Vlad Garaschenko, CISO en SOC Prime. Estas directrices cubren las mejores prácticas para la defensa contra ransomware y ofrecen las últimas detecciones contra ataques de ransomware para ayudar a los principales MSP y organizaciones en varios sectores a resistir proactivamente las intrusiones específicas de la industria.

Explore la primera plataforma del mundo para la defensa cibernética colaborativa, la caza de amenazas y el descubrimiento para mejorar las capacidades de detección de amenazas y defenderse de los ataques de manera más fácil, rápida y eficiente. ¿Desea crear sus propias reglas Sigma y YARA para hacer del mundo un lugar más seguro? ¡Únase a nuestro Programa de Recompensas por Amenazas para obtener recompensas recurrentes por su valiosa contribución!

Ir a la Plataforma Unirse al Programa de Recompensas