BlackMatter被多方懷疑與最近退役的DarkSide勒索軟體即服務(攻擊美國油管公司Colonial Pipeline的幕後黑手)有關,並且引起了部分知名媒體的興趣。
Sophos發表一篇最新研究文章《BlackMatter從DarkSide的陰影中出現》,除了提供BlackMatter和DarkSide勒索軟體之間相似之處的技術細節,內文中還列出REvil和LockBit 2.0勒索軟體群組的相似之處。
調查結果是根據SophosLabs對BlackMatter惡意軟體的深入分析,以及Sophos Rapid Response對BlackMatter勒索軟體相關事件的調查。
除其他資訊外,該研究詳細說明:
- BlackMatter 如何重置被加密文件的檔案權限,提供「完全控制」權限給「所有人」群組。
- BlackMatter 勒索軟體如何在網路中部署的技術細節。
- 在部署勒索軟體之前會先終止哪些處理程序的詳細資訊。
,包括:
- 將桌布「重設」成勒索註記,這一點在技術上與DarkSide非常類似(勒索註記也是)。
- 使用類似於DarkSide的多執行緒檔案加密方法。
- 使用類似於REvil濫用「安全模式」的做法。
- 提升使用者帳戶控制(UAC)權限,如同DarkSide和LockBit 2.0攻擊一樣。
- 加密程式碼字串使靜態偵測更難以發覺,類似於DarkSide和REvil。
Sophos工程總監Mark Loman表示,Sophos的研究支持以下假設,BlackMatter和DarkSide勒索軟體之間有關聯。不過,這可不是一個簡單的重新包裝案例。Sophos對惡意軟體的分析表明,雖然BlackMatter與DarkSide勒索軟體相似,但程式碼並不一樣。正如勒索軟體背後的操作者所聲稱的,REvil和LockBit 2.0勒索軟體也有相似之處。還發現了一些BlackMatter獨特的特徵,其中之一是它能夠重置檔案權限,讓每個人都可以檢視文件─在檔案復原後,IT管理員務必重置這個設定才行。
對於這個新的勒索軟體即服務家族來說,現在任何定論都還為時過早。但研究結果表明,在經驗豐富的攻擊者手中,這種勒索軟體可以造成很大的破壞而不會觸發過多警報。對於防禦人員來說,及時調查端點保護警示非常重要,因為它們能預警即將發生的攻擊將帶來災難性的後果。