Große Ransomware-Banden, darunter Avaddon, DarkSide und REvil, lösten sich im 2. Quartal 2021 auf. Die Erleichterung darüber war jedoch nur von kurzer Dauer. Neue und potenziell gefährlichere Banden zogen schnell nach, um den freigewordenen Platz einzunehmen. Die wahrscheinlich bemerkenswerteste dieser neuen Gruppen ist die BlackMatter Ransomware-Bande.
BlackMatter machte kürzlich Schlagzeilen, als es die Netzwerke des japanischen Medizintechnik-Riesen Olympus kompromittierte. Die Gruppe versucht jedoch sich zurückzuhalten, nachdem der DarkSide Angriff auf die Colonial Pipeline viel Aufsehen erregt hat. Dort kam es sogar zu einem Hack durch die US-Regierung, bei dem ein Teil des Lösegelds beschlagnahmt wurde.
Die Bande kündigte öffentlich an, dass sie keine kritische Infrastruktur oder Krankenhäuser ins Visier nehmen würde, vermutlich weil sie versucht, unerwünschte Aufmerksamkeit zu vermeiden.
Die Evolution von Ransomware
BlackMatter ist die Fusion einiger der wirksamsten Technologien, die derzeit in der Ransomware-Bedrohungslandschaft aktiv sind.
Experten sehen viele Ähnlichkeiten zwischen BlackMatter und DarkSide. BlackMatter enthält jedoch auch Funktionen von REvil, was es zu einem noch potenteren Virus macht. Es gibt einige wichtige Unterschiede, die darauf hindeuten, dass BlackMatter mehr als nur ein DarkSide-Rebranding sein könnte. BlackMatter zielt zum Beispiel auch auf russische Unternehmen ab, was für DarkSide tabu war. Einige Quellen im Dark Web deuten darauf hin, dass DarkMatter den Quellcode an diejenige Person verkauft hat, die nun BlackMatter betreibt.
BlackMatter gibt es sowohl als Windows- wie auch als Linux-Versionen, im Gegensatz zu den meisten Ransomware, die hauptsächlich auf Windows abzielen. Dies bedeutet, dass BlackMatter eine größere Bedrohung für Server darstellt, auf denen hauptsächlich Linux ausgeführt wird.
Blackmatter verfügt über eine beeindruckende Auswahl von Funktionen, die es ermöglichen, die Erkennung durch Antivirensoftware zu verhindern. Das BlackMatter Schadprogramm speichert, wie DarkSide auch, Konfigurationsinformationen in verschlüsselten Binärdateien, was die Erkennung erheblich erschwert. Es verfügt auch über eine Laufzeit-API, die zum Umgehen der Malware-Analyse verwendet wird. Die Ransomware kann zwar erkannt werden, aber es gestaltet sich für Entwickler von Antivirenprogrammen viel schwieriger, Maßnahmen zur Erkennung und zur Abwehr von BlackMatter zu entwickeln. BlackMatter verwendet auch Funktionen wie Import und Zeichenfolgenverschleierung.
Darauf sollten Sie bei BlackMatter Ransomware achten
Opfer, die der BlackMatter Bande das Lösegeld zahlten, haben bisher funktionierende Entschlüsseler bekommen. Es gibt jedoch ein paar Dinge, auf die man achten sollte. Eine der einzigartigen Funktionen von BlackMatter besteht beispielsweise darin, dass die Dateiberechtigungen so verändert werden, dass jeder auf bestimmte Dateien zugreifen kann. Dies ist Teil des bekannten Prozesses der Infiltration und Verschlüsselung des Netzwerks. Die Dechiffrierung der Dateien ergibt jedoch keine automatische Rückgabe der Dateiberechtigungen. Aus diesem Grund ist es nach einer Entschlüsselung unbedingt notwendig, die Dateiberechtigungen zu überprüfen, bevor Sie wieder an die Arbeit gehen.
Es kann hilfreich sein, daran zu denken, dass BlackMatter-Angriffe häufig Cobalt Strike verwenden. Die Überwachung in Bezug auf Cobalt Strike C2-Server kann nützlich sein, um BlackMatter-Angriffe zu erkennen und abzuwehren.
BlackMatter ist sehr daran interessiert, an sensible Daten zu gelangen, um eine Erpressung durchführen zu können. Im Idealfall sollten Organisationen, welche sensible Daten gespeichert haben, ein verschlüsseltes, luftgekapptes Speichermedium verwenden, um einen Zugriff durch Cyberkriminelle zu verhindern.
BlackMatter verfolgt aggressiv die Strategie ein System durch Insider anzugreifen, das heißt „innere“ Angriffsvektoren ausfindig zu machen. Konkret bedeutet das, dass in einem ersten Schritt unzufriedene oder skrupellose Mitarbeitende einer Organisation oder eines Unternehmens ausfindig gemacht werden. Anschließend wird diesen ein Teil des Lösegelds im Austausch für den Zugang zum Netzwerk angeboten. Dies stellt eine neue Angriffsmethode dar, vor der Ihr IT System geschützt werden muss.
Die Zukunft von BlackMatter
BlackMatter repräsentiert definitiv die Moderne der Ransomware. Hacker verdienen mittlerweile so viel Geld, dass sie in der Lage sind, Cybersicherheitsexperten finanziell zu überbieten. Somit ist Ransomware in der Lage, der Bedrohungserkennung immer einen Schritt voraus zu sein.
Wenn der Cybersicherheit in naher Zukunft keine höheren Budgets zu Verfügung stehen, werden wir in den kommenden Monaten wohl mit verheerenderen BlackMatter-Attacken konfrontiert.
Falls Sie von BlackMatter Ransomware betroffen sind, können wir helfen. Kontaktieren Sie uns für eine kostenlose Beratung zur Ransomware-Datenwiederherstellung, um mehr über das Vorgehen nach einem BlackMatter-Angriff zu erfahren.