[资安人文章分享] SophosLabs 发现 BlackMatter 和 DarkSide 勒索软体即服务有关联

BlackMatter 被多方怀疑与最近退役的 DarkSide 勒索软体即服务 (攻击美国油管公司 Colonial Pipeline 的幕后黑手) 有关，并且引起了部分知名媒体的兴趣。
 
Sophos 发表了一篇最新研究文章《BlackMatter 从 DarkSide 的阴影中出现》，除了提供 BlackMatter 和 DarkSide 勒索软体之间相似之处的技术细节，内文中还列出REvil 和 LockBit 2.0 勒索软体群组的相似之处。
 
调查结果是根据 SophosLabs 对 BlackMatter 恶意软体的深入分析，以及 Sophos Rapid Response 对 BlackMatter 勒索软体相关事件的调查。
 
新发现的 BlackMatter 勒索软体功能： 

·       BlackMatter 如何重置被加密文件的档案权限，提供「完全控制」权限给「所有人」群组

·       BlackMatter 勒索软体如何在网路中部署的技术细节 

·       在部署勒索软体之前会先终止哪些处理程序的详细信息 

BlackMatter 勒索软体使用的策略、技术和程序 (TTP) 与 DarkSide、REvil 和LockBit 2.0 中的一者或多者类似，包括：

·       将桌布「重设」成勒索注记，这一点在技术上与 DarkSide 非常类似 (勒索注记也是)

·       使用类似于 DarkSide 的多执行绪档案加密方法

·       使用类似于 REvil 滥用「安全模式」的做法 

·       提升使用者帐户控制 (UAC) 权限，如同 DarkSide 和 LockBit 2.0 攻击一样

·       加密程式码字串使静态侦测更难以发觉，类似于 DarkSide 和 REvil 

Sophos 工程总监 Mark Loman 表示：「我们的研究支持以下假设：BlackMatter 和DarkSide 勒索软体之间有关联。不过，这可不是一个简单的重新包装案例。我们对恶意软体的分析表明，虽然 BlackMatter 与 DarkSide 勒索软体相似，但程式码并不一样。正如勒索软体背后的操作者所声称的，REvil 和 LockBit 2.0 勒索软体也有相似之处。我们还发现了一些 BlackMatter 独特的特徵，其中之一是它能够重置档案权限，让每个人都可以检视文件。在档案复原后，IT 管理员务必重置这个设定才行。
 
「对于这个新的勒索软体即服务家族来说，现在任何定论都还为时过早。但我们的研究结果表明，在经验丰富的攻击者手中，这种勒索软体可以造成很大的破坏而不会触发过多警报。对于防御人员来说，及时调查端点保护警示非常重要，因为它们能预警即将发生的攻击将带来灾难性的后果。」

全文连结：https://www.informationsecurity.com.tw/article/article_detail.aspx?aid=9389