Nieuwe ransomware BlackMatter bouwt voort op Darkside en REvil

Abonneer je gratis op Techzine!

BlackMatter zet het nieuwe hit-and-run business model voort van Ransomware as a Service (RaaS), waarbij de provider zichzelf opheft na een grote hack. DarkSide stopte ermee een week na het platleggen van Colonial Pipeline, REvil lijkt verdwenen na de aanval op Kaseya. De operators achter BlackMatter beweren dat hun ransomware de beste eigenschappen van DarkSide, REvil en het no actieve LockBit 2.0 ransomware bevat.

Ze zeggen ook dat ze de Darkside-operators goed kennen, maar niet dezelfde mensen zijn. Om de potentiële relaties tussen de ransomware-groepen beter te begrijpen, heeft Sophos een BlackMatter ransomware-voorbeeld geanalyseerd en een aantal technische overeenkomsten met DarkSide en de andere ransomware-families ontdekt.

Het beste van beide

Het rapport van Sophos meldt verschillende details, waaronder:

  • Wanneer BlackMatter bestanden versleutelt, stelt het een achtergrond in die erg lijkt op die van DarkSide. Ook wordt dit, net als DarkSide, opgeslagen in dezelfde map op schijf, C:\ProgramData, met een identieke eigenschappen: een BMP bestand van 2.818.366 bytes, 1706 x 826 pixels, met 16-bits kleurdiepte.
  • BlackMatter, DarkSide en LockBit 2.0 gebruiken allemaal een gedeeltelijk versleutelingsschema, wat betekent dat ze niet het hele bestand versleutelen, maar slechts een deel. Dit heeft hetzelfde effect, maar verkort de aanvalsduur aanzienlijk omdat slechts een fractie van een bestand wordt gelezen en overschreven.
  • Naast gedeeltelijke versleuteling maken de meest recente RaaS gebruik van multithreading. Tijdens de versleuteling door van de BlackMatter-ransomware zien de bestandssysteemactiviteit en het gebruik van multithreading er hetzelfde uit als die van DarkSide.
  • In tegenstelling tot DarkSide, neemt de BlackMatter-ransomware het eigendom van een document over, voordat het wordt versleuteld, door de discretionaire toegangsbeheerlijst (DACL) in te stellen op Volledig voor de groep Iedereen (via de SetSecurityFile-functie). Dit maakt het document toegankelijk voor elke Windows-gebruiker. Door de ransomversleuteling die daarop volgt, levert dit niet meteen een inbreuk op de privacy op. Slachtoffers die het losgeld betalen, ontvangen echter een decrypter die de oorspronkelijke toegangsrechten niet kan herstellen, omdat deze beveiligingsinformatie verloren is gegaan.

IT-beheerders moeten de juiste machtigingen controleren en opnieuw instellen wanneer ze herstellen van een BlackMatter-ransomwareaanval.

In het Sophos-rapport staan nog veel meer karakteristieken van BlackMatter.