BlackMatter ransomware xuất hiện từ bóng tối của DarkSide

Vào thứ Sáu ngày 7 tháng 5 năm 2021, một chi nhánh của DarkSide Ransomware-as-a-Service (RaaS) đã tấn công Colonial Pipeline, một đường ống dẫn nhiên liệu lớn của Hoa Kỳ. Cuộc tấn công đã dẫn đến sự gián đoạn nguồn cung trên diện rộng, gây xôn xao toàn cầu và sự giám sát gắt gao của các cơ quan chức năng quốc gia Mỹ. Một tuần sau, DarkSide thông báo họ sẽ ngừng hoạt động sau khi các máy chủ bị cho là bị thu giữ và ví tiền điện tử của họ bị cạn kiệt. Sau đó, DarkSide bị cho “nghỉ hưu” bởi một ransomware khác – Revil. Tác nhân này gây ra mối đe dọa đằng sau cuộc tấn công vào Kaseya.

Vào cuối tháng 7, một RaaS mới đã xuất hiện trên hiện trường. Tự gọi mình là BlackMatter, ransomware tuyên bố sẽ lấp đầy khoảng trống mà DarkSide và REvil để lại. Họ tuyên bố áp dụng các công cụ và kỹ thuật tốt nhất từ hai ransomware trên, cũng như từ LockBit 2.0 vẫn đang hoạt động.

SophosLabs quyết định xem xét kỹ hơn phần mềm độc hại và các tuyên bố của “đối thủ mới” để xem điều gì đang thực sự xảy ra.

Chú thích: Ransomware-as-a-Service (RaaS) bao gồm một nhóm các nhà phát triển cốt lõi duy trì các trang web thanh toán và ransomware, cũng như các chi nhánh được tuyển dụng. Hoặc “khách hàng” thuê ransomware, vi phạm mạng của nạn nhân và mã hóa thiết bị.

Phân tích ransomware BlackMatter

Để hiểu rõ hơn về mối quan hệ tiềm ẩn giữa các nhóm ransomware, SophosLabs đã phân tích một mẫu ransomware của BlackMatter và phát hiện ra một số điểm tương đồng về mặt kỹ thuật với DarkSide và các họ ransomware khác đáng chú ý.

Mặt khác, cả REvil và Darkside, BlackMatter ransomware lưu trữ thông tin cấu hình ở dạng nhị phân ở định dạng được mã hóa. Sophos Lab đã giải mã điều này và phát hiện ra rằng phần mềm tống tiền BlackMatter có cấu trúc và thông tin tương tự được lưu trữ trong blob cấu hình, như danh sách các quy trình và dịch vụ cần tiêu diệt, lưu ý đòi tiền chuộc, chi tiết C2, thư mục cần tránh, v.v.

Xem thêm bài phân tích của SophosLab tại đây.

Ransomware DarkSide và BlackMatter có giống nhau không?

Có một số yếu tố cho thấy mối liên hệ giữa BlackMatter và DarkSide. Tuy nhiên, đây không chỉ đơn giản là đổi thương hiệu từ cái này sang cái khác. Phân tích phần mềm độc hại cho thấy mặc dù có những điểm tương đồng với ransomware DarkSide, nhưng chúng không hoàn toàn giống nhau.

Trong tay của một kẻ tấn công có kinh nghiệm, ransomware này có thể gây ra nhiều thiệt hại mà không gây ra nhiều báo động. Điều quan trọng là người bảo vệ phải kịp thời điều tra các cảnh báo bảo vệ điểm cuối vì chúng có thể là dấu hiệu của một cuộc tấn công sắp xảy ra với hậu quả thảm khốc.

Sophos Machine Learning tự động phát hiện ransomware BlackMatter.

CÔNG TY CỔ PHẦN DASS – NHÀ PHÂN PHỐI HÀNG ĐẦU GIẢI PHÁP BẢO MẬT SOPHOS

HCM: 55/10 Trần Đình Xu, Phường Cầu Kho, Quận 1, TP. HCM

Mobile: 028 2055 2868

Hà Nội: Số 29, Lê Đại Hành, Q.Hai Bà Trưng, Tp. Hà Nội

Mobile: 024 3555 3030

Email: info@dass.vn

Website: https://dass.vn