BlackMatter 랜섬웨어 탐지

BlackMatter 랜섬웨어는 미국, 유럽 및 아시아 전역의 고프로파일 목표물을 공격하며 급부상하고 있습니다. 악명 높은 DarkSide 해킹 집단의 후속자인 BlackMatter는 전임자로부터 가장 뛰어난 전술을 채택하여 2021년 7월 대형 랜섬웨어 게임에 돌입했습니다. 이 공동 자문 은 CISA, FBI, NSA가 미국의 주요 인프라 자산에 대한 여러 공격을 BlackMatter의 소행으로 지목합니다. 또한 보안 전문가들은 BlackMatter 랜섬웨어 그룹이 역사적인 Colonial Pipeline 해킹 사건에 연루되었을 가능성이 있다고 지적합니다.

BlackMatter 랜섬웨어

2021년 7월 처음 발견된 BlackMatter는 고수익을 추구하는 새로운 랜섬웨어-서비스(RaaS) 조직입니다. 악성 분야에서 새로운 플레이어이지만, BlackMatter는 이미 여러 유명 조직을 표적으로 삼았으며, 여기에는 두 개의 미국 식품 및 농업 부문 조직과 일본 광학 기술 대기업인 올림푸스의 유럽 운영 부문이 포함됩니다. 랜섬 요구는 비트코인과 모네로로 $80,000에서 $15,000,000까지 다양하며, 이는 BlackMatter가 강력하게 공격하고 크게 노력하고 있음을 보여줍니다.

BlackMatter의 악명을 더하기 위해, 랜섬웨어 관리자는 이중 갈취 추세를 지원합니다. 해커들은 공격 중에 민감한 데이터를 암호화하는 것뿐만 아니라 기밀 정보를 탈취하기도 합니다. 그 결과, 회사들은 데이터 유출을 방지하기 위해 랜섬을 지불하도록 압박받습니다.

보안 전문가들은 BlackMatter가 악명 높은 DarkSide 그룹의 리브랜딩일 수 있다고 믿고 있습니다. 이는 악성 소프트웨어 분석 중 관찰된 주요 코드 및 기술의 중복성 때문입니다. 그러나 BlackMatter 관리자는 다른 멀웨어의 최선의 방법을 채택한 독립적인 개발자 그룹이라고 주장합니다. GandCrab, LockBit, 그리고 DarkSide. 

Attack Kill Chain

CISA에 따르면, BlackMatter는 초기에 임베디드 관리자 또는 사용자 자격 증명을 활용합니다. 특히, LDAP 및 SMB 프로토콜에 임베디드된 자격 증명은 Active Directory (AD) 내 모든 호스트를 발견하고, srvsvc.NetShareEnumAll Microsoft 원격 프로시저 호출 (MSRPC) 기능을 통해 각 호스트의 접근 가능한 공유를 나열하는 데 사용됩니다. 그런 다음, BlackMatter는 처음 타격받은 호스트의 모든 접근 가능한 공유 데이터를 원격으로 암호화합니다. 여기에는 ADMIN$, C$, SYSVOL, NETLOGON이 포함됩니다.

또한, BlackMatter는 Linux 및 ESXi 가상 머신을 대상으로 한 공격에서도 성공적인 것으로 확인되었습니다. 이 위협은 별도의 암호화 이진 파일을 사용하며, 백업 시스템을 암호화하는 대신, 적들은 백업 데이터 저장소와 장비를 삭제하거나 재포맷합니다.

특히, 2021년 10월 사이버 보안 회사 Emisfoft는 주요 버그 를 BlackMatter 코드에서 발견하여, 연구자들이 BlackMatter 랜섬웨어 피해자를 위한 복호화기를 제작할 수 있게 했습니다. Emisoft는 즉시 법 집행 기관, CERTS, 신뢰할 수 있는 파트너들에게 알렸으며, 이들은 조직들이 랜섬을 지불하지 않고도 무료로 데이터를 복구할 수 있도록 돕습니다. 그러나 BlackMatter 관리자들은 2021년 9월 말에 이 버그를 인지하고 신속하게 수정하였습니다. 따라서, 현재의 복호화기는 2021년 9월 이전에 공격을 받은 피해자에게만 작동됩니다.

BlackMatter 랜섬웨어 탐지

귀사 인프라를 BlackMatter 감염으로부터 보호하기 위해, 우리의 숙련된 위협 현상금 개발자가 개발한 Sigma 규칙을 다운로드할 수 있습니다.

DarkSide 레지스트리 감지를 통한 BlackMatter 랜섬웨어

관리자 로그온을 구현하기 위한 레지스트리 수정으로 인한 BlackMatter 기술

Bcdedit 명령을 사용하여 정상 모드 부팅으로 되돌리는 BlackMatter 기술

레지스트리 이벤트를 통한 BlackMatter 랜섬웨어

Blackmatter 탐지를 위해, LDAP 쿼리를 사용하여 Schcache 폴더에 액세스

또한, 귀하가 2021년 랜섬웨어 공격 방어 산업 지침 를 검토할 것을 권장합니다. Vlad Garaschenko, SOC Prime의 CISO. 이 지침은 랜섬웨어 방어를 위한 모범 사례를 다루고, 주요 MSP 및 다양한 부문의 조직이 산업별 침입에 적극적으로 대응할 수 있도록 최신 탐지를 제공합니다.

세계 최초의 플랫폼 탐색 협업 사이버 방어, 위협 사냥 및 발견을 통해 위협 탐지 역량을 강화하고 보다 쉽게, 빠르게, 효율적으로 공격을 방어하도록 합니다. Sigma 및 YARA 규칙 작성을 통해 세계를 더 안전한 장소로 만들고 싶으십니까? 귀중한 기여에 대한 반복적 보상을 받기 위해 위협 현상금 프로그램에 참여하세요! for collaborative cyber defense, threat hunting and discovery to boost threat detection capabilities and defend against attacks easier, faster and more efficiently. Eager to craft your own Sigma and YARA rules to make the world a safer place? Join our Threat Bounty Program to get recurrent rewards for your valuable input!

플랫폼으로 이동 위협 현상금 참가