SophosLabs 發布 BlackMatter 和 DarkSide 勒索軟體即服務之間關聯性的最新見解

BlackMatter 被多方懷疑與最近退役的 DarkSide 勒索軟體即服務 (攻擊美國油管公司 Colonial Pipeline 的幕後黑手) 有關，並且引起了部分知名媒體的興趣。

Sophos 發表了一篇最新研究文章《BlackMatter 從 DarkSide 的陰影中出現》，除了提供 BlackMatter 和 DarkSide 勒索軟體之間相似之處的技術細節，內文中還列出 REvil 和 LockBit 2.0 勒索軟體群組的相似之處。

調查結果是根據 SophosLabs 對 BlackMatter 惡意軟體的深入分析，以及 Sophos Rapid Response 對 BlackMatter 勒索軟體相關事件的調查。

除其他資訊外，該研究詳細說明：

• 新發現的 BlackMatter 勒索軟體功能： 

• BlackMatter 如何重置被加密文件的檔案權限，提供「完全控制」權限給「所有人」群組

• BlackMatter 勒索軟體如何在網路中部署的技術細節 

• 在部署勒索軟體之前會先終止哪些處理程序的詳細資訊

• BlackMatter 勒索軟體使用的策略、技術和程序 (TTP) 與 DarkSide、REvil 和 LockBit 2.0 中的一者或多者類似，包括：

  • 將桌布「重設」成勒索註記，這一點在技術上與 DarkSide 非常類似 (勒索註記也是)

  • 使用類似於 DarkSide 的多執行緒檔案加密方法

  • 使用類似於 REvil 濫用「安全模式」的做法 

  • 提升使用者帳戶控制 (UAC) 權限，如同 DarkSide 和 LockBit 2.0 攻擊一樣

  • 加密程式碼字串使靜態偵測更難以發覺，類似於 DarkSide 和 REvil

Sophos 工程總監 Mark Loman 表示：

「我們的研究支持以下假設：BlackMatter 和 DarkSide 勒索軟體之間有關聯。不過，這可不是一個簡單的重新包裝案例。我們對惡意軟體的分析表明，雖然 BlackMatter 與 DarkSide 勒索軟體相似，但程式碼並不一樣。正如勒索軟體背後的操作者所聲稱的，REvil 和 LockBit 2.0 勒索軟體也有相似之處。我們還發現了一些 BlackMatter 獨特的特徵，其中之一是它能夠重置檔案權限，讓每個人都可以檢視文件─在檔案復原後，IT 管理員務必重置這個設定才行。

「對於這個新的勒索軟體即服務家族來說，現在任何定論都還為時過早。但我們的研究結果表明，在經驗豐富的攻擊者手中，這種勒索軟體可以造成很大的破壞而不會觸發過多警報。對於防禦人員來說，及時調查端點保護警示非常重要，因為它們能預警即將發生的攻擊將帶來災難性的後果。」

如需了解 BlackMatter 的更多資訊，請閱讀 SophosLabs Uncut 的文章。 

Sophos 端點產品 (例如 Intercept X) 可透過偵測勒索軟體和其他攻擊的動作和行為來保護使用者。CryptoGuard 功能可阻止試圖加密檔案的行為。 

其他資源

• 在 Sophos 最新威脅情報中心 SophosLab Uncut 上找到不同類型勒索軟體的策略、技術和程序 (TTP) 和其他資訊

• 在Sophos 新聞上找到攻擊者行為、事件報告和針對安全營運專業人員的建議

• 透過 Sophos 的《2021 年主動攻擊者的劇本》了解攻擊者的行為和 TTP

• 透過《2021 年勒索軟體現狀》詳細了解勒索軟體的全球流行情況和影響

• 如要阻止勒索軟體攻擊，請閱讀《攻擊者存在的五個早期指標》

• 了解 Sophos Rapid Response 服務的更多資訊，該服務可全天候遏阻、消除和調查攻擊

Sophos Rapid Response 和 Managed Threat Response 團隊對回應安全事件的四個重要提示