Détection du Ransomware BlackMatter
Table des matières :
Le ransomware BlackMatter est en augmentation, ciblant des cibles de haut niveau à travers les États-Unis, l’Europe et l’Asie. En tant que rejeton du collectif de piratage infâme DarkSide, BlackMatter a adopté les tactiques les plus prolifiques de son prédécesseur pour percer dans le grand jeu du ransomware en juillet 2021. Le conseil conjoint par la CISA, le FBI et la NSA attribue plusieurs attaques contre des actifs d’infrastructures critiques aux États-Unis à BlackMatter. De plus, les experts en sécurité indiquent que le groupe de ransomware BlackMatter pourrait avoir été impliqué dans la rupture révolutionnaire du pipeline Colonial.
Ransomware BlackMatter
Aperçu pour la première fois en juillet 2021, BlackMatter est un nouveau réseau de Ransomware-as-a-Service (RaaS) à la recherche de profits importants. Bien qu’étant un nouvel acteur dans l’arène malveillante, BlackMatter a déjà ciblé de nombreuses grandes organisations, y compris deux organisations du secteur alimentaire et agricole aux États-Unis ainsi que les opérations européennes du géant japonais de la technologie optique Olympus. Les demandes de rançon varient de 80 000 $ à 15 000 000 $ en Bitcoin et Monero, prouvant que BlackMatter frappe fort et vise gros.
Pour ajouter à la notoriété de BlackMatter, les mainteneurs de ransomware soutiennent la tendance de la double extorsion. Les hackers ne se contentent pas de crypter des données sensibles pendant l’attaque, mais volent aussi des détails confidentiels. En conséquence, les entreprises sont poussées à payer la rançon pour éviter les fuites de données.
Les experts en sécurité estiment que BlackMatter pourrait être une rebrand du groupe infâme DarkSide en raison de chevauchements significatifs de code et de techniques observés lors de l’analyse des malwares. Pourtant, les mainteneurs de BlackMatter prétendent être un groupe indépendant de développeurs qui ont adopté les meilleures approches d’autres malwares comme GandCrab, LockBit, et DarkSide.
Chaîne de destruction d’attaque
Selon la CISA, BlackMatter utilise des informations d’admin ou d’utilisateur intégrées pour le compromis initial. Plus particulièrement, les crédenciales intégrées dans le protocole LDAP et SMB sont utilisées pour découvrir tous les hôtes dans l’Active Directory (AD) et la fonction Microsoft Remote Procedure Call (MSRPC) srvsvc.NetShareEnumAll pour énumérer chaque hôte pour les partages accessibles. Ensuite, BlackMatter crypte à distance toutes les données des partages accessibles depuis l’hôte initialement compromis, y compris ADMIN$, C$, SYSVOL et NETLOGON.
En outre, BlackMatter a été identifié comme ayant réussi dans des attaques contre des machines virtuelles Linux et ESXi. La menace utilise un binaire de chiffrement séparé, et plutôt que de chiffrer les systèmes de sauvegarde, les adversaires effacent ou reformatent les magasins de données et les appareils de sauvegarde.
Notamment, en octobre 2021, la société de cybersécurité Emisfoft a révélé un bug majeur dans le code de BlackMatter qui a permis aux chercheurs de produire un déchiffreur pour les victimes du ransomware BlackMatter. Emisoft a immédiatement alerté les forces de l’ordre, les CERTS et les partenaires de confiance afin qu’ils puissent aider les organisations à restaurer les données gratuitement sans payer la rançon. Cependant, les mainteneurs de BlackMatter ont appris l’existence du bug à la fin de septembre 2021 et l’ont corrigé rapidement. Par conséquent, le déchiffreur existant fonctionne uniquement pour les victimes qui ont subi une attaque avant septembre 2021.
Détection du Ransomware BlackMatter
Pour protéger votre infrastructure d’entreprise contre d’éventuelles infections par BlackMatter, vous pouvez télécharger un ensemble de règles Sigma développées par nos développeurs expérimentés de Threat Bounty.
Ransomware BlackMatter de Détection de Registre DarkSide
Technique BlackMatter par Modification de Registre pour Implémenter Connexion Admin
Technique BlackMatter en Utilisant la Commande Bcdedit Retour à Mode Normal
Ransomware BlackMatter (via registry_event)
Détecter Blackmatter, Utiliser des Requêtes LDAP pour Accéder au Dossier Schcache
De plus, nous vous recommandons de consulter les Lignes Directrices de l’Industrie : Défense Contre les Attaques de Ransomware en 2021 fournies par Vlad Garaschenko, CISO chez SOC Prime. Ces directives couvrent les meilleures pratiques pour la défense contre les ransomwares et offrent les dernières détections contre les attaques de ransomware pour aider les principaux MSP et organisations de divers secteurs à résister proactivement aux intrusions spécifiques à leur industrie.
Explorez la première plateforme mondiale pour la cyberdéfense collaborative, la chasse et la découverte de menaces afin d’améliorer les capacités de détection de menaces et de se défendre contre les attaques plus facilement, plus rapidement et plus efficacement. Désireux de créer vos propres règles Sigma et YARA pour rendre le monde plus sûr ? Rejoignez notre Programme Threat Bounty pour obtenir des récompenses récurrentes pour vos contributions précieuses !
