首頁 > 最新消息 >[資安人文章分享] SophosLabs 發現 BlackMatter 和 DarkSide 勒索軟體即服務有關聯

最新消息

2021-08-11

[資安人文章分享] SophosLabs 發現 BlackMatter 和 DarkSide 勒索軟體即服務有關聯


BlackMatter 被多方懷疑與最近退役的 DarkSide 勒索軟體即服務 (攻擊美國油管公司 Colonial Pipeline 的幕後黑手) 有關,並且引起了部分知名媒體的興趣。
 
Sophos 發表了一篇最新研究文章《BlackMatter 從 DarkSide 的陰影中出現》,除了提供 BlackMatter 和 DarkSide 勒索軟體之間相似之處的技術細節,內文中還列出REvil 和 LockBit 2.0 勒索軟體群組的相似之處。
 
調查結果是根據 SophosLabs 對 BlackMatter 惡意軟體的深入分析,以及 Sophos Rapid Response 對 BlackMatter 勒索軟體相關事件的調查。
 
新發現的 BlackMatter 勒索軟體功能: 

·       BlackMatter 如何重置被加密文件的檔案權限,提供「完全控制」權限給「所有人」群組

·       BlackMatter 勒索軟體如何在網路中部署的技術細節 

·       在部署勒索軟體之前會先終止哪些處理程序的詳細資訊 

BlackMatter 勒索軟體使用的策略、技術和程序 (TTP) 與 DarkSide、REvil 和LockBit 2.0 中的一者或多者類似,包括:

<image001.jpg>

·       將桌布「重設」成勒索註記,這一點在技術上與 DarkSide 非常類似 (勒索註記也是)

·       使用類似於 DarkSide 的多執行緒檔案加密方法

·       使用類似於 REvil 濫用「安全模式」的做法 

·       提升使用者帳戶控制 (UAC) 權限,如同 DarkSide 和 LockBit 2.0 攻擊一樣

·       加密程式碼字串使靜態偵測更難以發覺,類似於 DarkSide 和 REvil 

<image002.jpg>
Sophos 工程總監 Mark Loman 表示:「我們的研究支持以下假設:BlackMatter 和DarkSide 勒索軟體之間有關聯。不過,這可不是一個簡單的重新包裝案例。我們對惡意軟體的分析表明,雖然 BlackMatter 與 DarkSide 勒索軟體相似,但程式碼並不一樣。正如勒索軟體背後的操作者所聲稱的,REvil 和 LockBit 2.0 勒索軟體也有相似之處。我們還發現了一些 BlackMatter 獨特的特徵,其中之一是它能夠重置檔案權限,讓每個人都可以檢視文件。在檔案復原後,IT 管理員務必重置這個設定才行。
 
「對於這個新的勒索軟體即服務家族來說,現在任何定論都還為時過早。但我們的研究結果表明,在經驗豐富的攻擊者手中,這種勒索軟體可以造成很大的破壞而不會觸發過多警報。對於防禦人員來說,及時調查端點保護警示非常重要,因為它們能預警即將發生的攻擊將帶來災難性的後果。」

全文連結:https://www.informationsecurity.com.tw/article/article_detail.aspx?aid=9389

達友科技股份有限公司 版權所有 Copyright ©2015 Docutek Solutions , Inc.