Detecção de Ransomware BlackMatter
Índice:
O ransomware BlackMatter está em ascensão, atingindo alvos de alto perfil nos EUA, Europa e Ásia. Sendo um descendente do infame coletivo de hackers DarkSide, o BlackMatter adotou as táticas mais prolíficas de seu antecessor para entrar no grande jogo do ransomware em julho de 2021. O comunicado conjunto assessoria da CISA, FBI e NSA atribui múltiplos ataques contra ativos de infraestrutura crítica dos EUA ao BlackMatter. Além disso, especialistas em segurança apontam que o grupo de ransomware BlackMatter pode ter estado envolvido no ataque histórico ao Colonial Pipeline.
Ransomware BlackMatter
Primeiro observado em julho de 2021, o BlackMatter é um novo grupo de Ransomware como Serviço (RaaS) em busca de lucros substanciais. Apesar de ser um novo participante na arena maliciosa, o BlackMatter já mirou em várias grandes organizações, incluindo duas do Setor Alimentício e de Agricultura dos EUA, bem como as operações europeias do gigante tecnológico óptico japonês Olympus. As demandas de resgate variam de $80,000 a $15,000,000 em Bitcoin e Monero, provando que o BlackMatter está atacando forte e buscando grandes alvos.
Para aumentar a notoriedade do BlackMatter, os mantenedores do ransomware apoiam a tendência de duplo extorsão. Os hackers não apenas criptografam dados sensíveis durante o ataque, mas também roubam detalhes confidenciais. Como resultado, as empresas são pressionadas a pagar o resgate para evitar vazamento de dados.
Especialistas em segurança acreditam que o BlackMatter pode ser uma reformulação do notório grupo DarkSide devido a significativos sobreposições de códigos e técnicas observados durante a análise do malware. No entanto, os mantenedores do BlackMatter afirmam ser um grupo independente de desenvolvedores que adotou as melhores abordagens de outros malwares como GandCrab, LockBit, e DarkSide.
Cadeia de Ataque
De acordo com a CISA, o BlackMatter utiliza credenciais de administrador ou usuário embutidas para a invasão inicial. Particularmente, as credenciais embutidas nos protocolos LDAP e SMB são usadas para descobrir todos os hosts no Active Directory (AD) e a função srvsvc.NetShareEnumAll da Chamada de Procedimento Remoto da Microsoft (MSRPC) para enumerar cada host para os compartilhamentos acessíveis. Então, o BlackMatter criptografa remotamente todos os dados dos compartilhamentos acessíveis do host inicialmente comprometido, incluindo ADMIN$, C$, SYSVOL e NETLOGON.
Além disso, o BlackMatter foi identificado como bem-sucedido em ataques contra máquinas virtuais Linux e ESXi. A ameaça usa um binário de criptografia separado e, em vez de criptografar sistemas de backup, os adversários apagam ou reformatam os armazéns de dados e equipamentos de backup.
Notavelmente, em outubro de 2021, a empresa de cibersegurança Emsisoft revelou um grande bug no código do BlackMatter que permitiu aos pesquisadores produzir um decifrador para vítimas do ransomware BlackMatter. A Emsisoft alertou imediatamente as autoridades, CERTS e parceiros de confiança para que possam ajudar organizações a restaurar dados gratuitamente sem pagar o resgate. No entanto, os mantenedores do BlackMatter souberam do bug no final de setembro de 2021 e o corrigiram prontamente. Portanto, o decifrador existente funciona apenas para vítimas que sofreram um ataque antes de setembro de 2021.
Detectando o Ransomware BlackMatter
Para proteger a infraestrutura da sua empresa contra possíveis infecções do BlackMatter, você pode baixar um conjunto de regras Sigma desenvolvidas por nossos experientes desenvolvedores do Threat Bounty.
Detecção de Registro do BlackMatter de DarkSide
Técnica do BlackMatter por Modificação de Registro para Implementar Logon de Administrador
Técnica do BlackMatter ao Usar o Comando Bcdedit para Inicialização no Modo Normal
Ransomware BlackMatter (via evento_de_registro)
Detectar BlackMatter, Usar Consultas LDAP para Acessar a Pasta Schcache
Além disso, recomendamos que você inspecione as Diretrizes da Indústria: Defender-se contra Ataques de Ransomware em 2021 fornecidas por Vlad Garaschenko, CISO na SOC Prime. Essas diretrizes cobrem as melhores práticas para defesa contra ransomware e oferecem as últimas detecções contra ataques de ransomware para ajudar os principais MSPs e organizações em vários setores a resistirem de forma pró-ativa às intrusões específicas da indústria.
Explore a primeira plataforma do mundo para defesa cibernética colaborativa, caça e descoberta de ameaças para aumentar as capacidades de detecção de ameaças e defender-se contra ataques de maneira mais fácil, rápida e eficiente. Deseja criar suas próprias regras Sigma e YARA para tornar o mundo um lugar mais seguro? Participe do nosso Programa Threat Bounty para receber recompensas recorrentes por sua valiosa contribuição!
