Rilevamento del Ransomware BlackMatter
Indice:
Il ransomware BlackMatter è in crescita, colpendo obiettivi di alto profilo negli Stati Uniti, in Europa e in Asia. Essendo una progenie del famigerato collettivo di hacker DarkSide, BlackMatter ha adottato le tattiche più prolifiche del suo predecessore per irrompere nel grande gioco del ransomware durante luglio 2021. La collaborazione consulenza di CISA, FBI e NSA attribuisce numerosi attacchi contro asset di infrastrutture critiche degli Stati Uniti a BlackMatter. Inoltre, esperti di sicurezza indicano che il gruppo di ransomware BlackMatter potrebbe essere stato coinvolto nel rivoluzionario attacco alla Colonial Pipeline.
Ransomware BlackMatter
Individuato per la prima volta a luglio 2021, BlackMatter è un nuovo gruppo Ransomware-as-a-Service (RaaS) che punta a profitti considerevoli. Nonostante sia un nuovo operatore nel settore malevolo, BlackMatter ha già preso di mira numerose organizzazioni di primo piano, incluse due organizzazioni del Settore Alimentare e Agricolo degli Stati Uniti, nonché le operazioni europee del gigante giapponese della tecnologia ottica Olympus. Le richieste di riscatto vanno da $80,000 a $15,000,000 in Bitcoin e Monero, dimostrando che BlackMatter colpisce duramente e punta in grande.
Per aumentare la notorietà di BlackMatter, i manutentori del ransomware supportano la tendenza della doppia estorsione. Gli hacker non solo cifrano i dati sensibili durante l’attacco, ma rubano anche dettagli riservati. Di conseguenza, le aziende sono spinte a pagare il riscatto per evitare la fuga di dati.
Gli esperti di sicurezza credono che BlackMatter potrebbe essere una ripresentazione del noto gruppo DarkSide a causa di significative sovrapposizioni di codice e tecniche osservate durante l’analisi del malware. Tuttavia, i manutentori di BlackMatter affermano di essere un gruppo indipendente di sviluppatori che hanno adottato i migliori approcci di altri malware come GandCrab, LockBit, e DarkSide.
Catena di Uccisione dell’Attacco
Secondo CISA, BlackMatter sfrutta credenziali di admin o utente incorporate per il compromesso iniziale. In particolare, le credenziali incorporate nei protocolli LDAP e SMB sono impiegate per scoprire tutti gli host nell’Active Directory (AD) e la funzione srvsvc.NetShareEnumAll Microsoft Remote Procedure Call (MSRPC) per enumerare ogni host per condivisioni accessibili. Successivamente, BlackMatter cifra da remoto tutti i dati delle condivisioni accessibili dall’host inizialmente compromesso, incluse ADMIN$, C$, SYSVOL e NETLOGON.
Inoltre, BlackMatter è stato identificato come efficace in attacchi contro macchine virtuali Linux e ESXi. La minaccia utilizza un codice di cifratura separato e, anziché cifrare i sistemi di backup, gli avversari cancellano o riformattano i depositi di dati di backup e le apparecchiature.
In particolare, nell’ottobre 2021, la società di cybersecurity Emisfoft ha rivelato un grave bug nel codice di BlackMatter che ha permesso ai ricercatori di produrre un decrittatore per le vittime del ransomware BlackMatter. Emisfoft ha avvisato immediatamente le forze dell’ordine, le CERT e i partner fidati in modo che possano aiutare le organizzazioni a ripristinare i dati gratuitamente senza pagare il riscatto. Tuttavia, i manutentori di BlackMatter hanno scoperto il bug alla fine di settembre 2021 e lo hanno corretto prontamente. Pertanto, il decrittatore esistente funziona solo per le vittime che hanno subito un attacco prima di settembre 2021.
Rilevamento del Ransomware BlackMatter
Per proteggere l’infrastruttura della tua azienda da possibili infezioni di BlackMatter, puoi scaricare un set di regole Sigma sviluppate dai nostri esperti sviluppatori Threat Bounty.
Rilevamento Registro BlackMatter Ransomware di DarkSide
Tecnica BlackMatter tramite Modifica di Registro per Implementare Accesso Admin
Tecnica BlackMatter utilizzando il comando Bcdedit per tornare alla modalità normale di avvio
Ransomware BlackMatter (tramite registry_event)
Rileva BlackMatter, Usa Query LDAP per Accedere alla Cartella Schcache
Inoltre, si raccomanda di esaminare le Linee Guida di Settore: Difendere Contro gli Attacchi Ransomware nel 2021 fornite da Vlad Garaschenko, CISO di SOC Prime. Queste linee guida coprono le migliori pratiche per la difesa contro i ransomware e offrono le ultime rilevazioni contro gli attacchi ransomware per aiutare i principali MSP e le organizzazioni di vari settori a resistere in modo proattivo alle intrusioni specifiche dell’industria.
Esplora la prima piattaforma mondiale per la difesa cibernetica collaborativa, la caccia alle minacce e la scoperta per potenziare le capacità di rilevamento delle minacce e difendersi dagli attacchi in modo più semplice, veloce ed efficiente. Desideri creare le tue regole Sigma e YARA per rendere il mondo un posto più sicuro? Unisciti al nostro Programma Threat Bounty per ottenere ricompense ricorrenti per il tuo prezioso contributo!
