Blackmatter Ransomware gruppen er nu lukket.

BlackMatter Ransomware gruppen lukker og slukker, indtil videre

BlackMatter gruppen (formentligt tidligere navn er: DARKSIDE) der er kendt for hacking og ransomware i stor stil er angiveligt ed at lukke sin drift på grund af pres fra myndighederne og de seneste retshåndhævende operationer. Vi mener at de 12 anholdelser har med Blackmatter gruppen at gøre, idet der hævdes, at de er ansvarlige for 1.800 angreb på primært store virksomheder. Blacmatter har krævet løsepenge betalinger der spænder fra $80,000 til $15,000,000 i Bitcoin og Monero.

BlackMatter driver, eller drev indtil i mandags, en privat ransomware-as-a-service (RaaS) hjemmeside. Gruppen havde omfattende support og angiveligt mage kunder. De havde en omfattendde kommunikationstjeneste med decentrale operatører, man kunne åbne support billetter, og modtage nye versioner af deres ransomware, såsnart man havde betalt i systemet.

I dag, har sikkerheds forskningsgruppe VX-Underground på twitter delt et screenshot der muligvis stammer fra Blackmatter på Darknet. Beskeden skulle være postet af en BlackMatter operatør den 01/11 RaaS hjemmesiden. Dette indlæg advarer affiliates, at ransomware operationen vil lukke ned om 48 timer.

Dette indlæg kan man oversætte til dansk som følger:

“På grund af visse uløselige omstændigheder forbundet med pres fra myndighederne (en del af teamet er ikke længere tilgængelig, efter de seneste nyheder) – projektet er lukket. Efter 48 timer vil hele infrastrukturen blive slukket, så:

* Udstedte mail til affiliates for yderligere kommunikation
 * Få decryptor. Til dette skriv “give en decryptor” inde i virksomhedens chat, hvor det er nødvendigt.


Vi ønsker jer held og lykke, vi var glade for at arbejde.”

En Blacmatter netoperatør.

Det står dog uklart, hvad de “seneste nyheder” henviser til. Vi og mange andre medier gætter på at der er sammenhængen med anholdelsen af de 12 personer der er under sigtelse for at have foretaget mere end 1,800 ransomware angreb i 71 lande.

Det sker ofte at de kriminelle hackere lukker ned, for blot at genopstå igen i et andet land, men ofte med samme navn og services. I juli forsvandt REvils offentlige repræsentant kendt som ‘Unknown’, hvilket førte til lukningen af REVIL.

Hvis dette indlæg på twitter er sandt, og BlackMatter lukker sin operation senere i dag, så betyder det ikke, at disse trusselsaktører ikke længere vil afpresse eksisterende ofre. Det vil forsætte. Jeg gætter på navnet vil blive: DarkMatter eller BlackSide.

Baseret på Blackmatters indstilling vil RaaS servicesn formentlig forsætte for at give de mange affiliates valuta for pengeneog for at kunne modtage dekryptering til de eksisterende ofre. Dette angiveligt så de kan fortsætte med at afpresse ofrene på egen hånd. Der er stille på Darknet, men masser af kommentarer, og det er klogt at Politiet ikke farer ud og fortæller noget om den internationale politiaktion formentligt i 4 lande.

Da de 48 timer er gået er det er det uvist hvad der nu skal ske, Blackmatters Tor betaling site og opdateringer forbliver operationelle.

Blackmatter vil sandsynligvis blive til en ny Ransomware

Selvom BlackMatter lukker sin drift, vil vi sandsynligvis se dem vende tilbage som en anden gruppe i fremtiden. Når ransomware bander føler sig presset fra politiet er det almindeligt, at de lukker deres drift og relancerer under et nyt navn. BlackMatter er således formentligt et Rebrand af DARKSIDE. Men Darkside lukkede ned efter at have angrebet Colonial Pipeline i USA.

Andre ransomware operationer, der er genopstået under nye navne omfatter:

  • REvil blev til GandCrab
  • Labyrinth blev til Egregor
  • Bitpaymer blev til DoppelPaymer og atter til Sorrow
  • Nemty blev til til Nefilim og derefter til Karma

Det er således kun et spørgsmål om tid, før operatørerne af BlackMatter og andre grupper relancere under et andet navn. Men de er nemme at genkende på de spor, teknikker, metoder, phising mails, sikkerhedshuller, adfærd og kryptering og dekrypteringsteknikker de anvender.

Taktik, teknikker og procedurer

Denne rådgivning giver oplysninger om cyber aktører TTPs opnået fra følgende prøve af BlackMatter ransomware, som blev analyseret i en sandkasse miljø, samt fra betroede tredjeparter: SHA-256: 706f3eec328e91ff7f66c8f0a2fb9b556325c153a329a2062dc85879c540839d. (Bemærk:  Klik her for at se eksemplets side på VirusTotal.)

BlackMatter-varianten bruger integrerede administrator- eller brugerlegitimationsoplysninger, der tidligere er blevet kompromitteret, og henholdsvis NtQuerySystemInformation  og  EnumServicesStatusExW til at opregne kørende processer og tjenester. BlackMatter bruger derefter de integrerede legitimationsoplysninger i LDAP- og SMB-protokollen til at finde alle værter i AD- og  srvsvc.NetShareEnumAll  Microsoft Remote Procedure Call (MSRPC) til at optælle hver vært for tilgængelige shares. Især udnytter denne variant af BlackMatter de integrerede legitimationsoplysninger og SMB-protokollen til eksternt at kryptere fra den oprindelige kompromitterede vært alle opdagede shares indhold, herunder  ADMIN $,  C $,  SYSVOLog  NETLOGON.

BlackMatter-aktører bruger en separat krypterings binær til Linux-baserede maskiner og krypterer rutinemæssigt ESXi virtuelle maskiner. I stedet for at kryptere backup-systemer, vil BlackMatter aktører slette eller omformatere backup datalagre, virtuelle servere på samme IP klasser og evt. computere.

Tabel 1 knytter BlackMatters funktioner til MITRE ATT&CK for Enterprise-strukturen baseret på den analyserede variant og rapportering fra tredjepart, der er tillid til.

Table 1: Black Matter Actors and Ransomware TTPs

TacticTechnique Procedure 
Persistence [TA0003]External Remote Services [T1133]BlackMatter leverages legitimate remote monitoring and management software and remote desktop software, often by setting up trial accounts, to maintain persistence on victim networks. 
Credential Access [TA0006]OS Credential Dumping: LSASS Memory [T1003.001]BlackMatter harvests credentials from Local Security Authority Subsystem Service (LSASS) memory using procmon.
Discovery [TA0007]Remote System Discovery [T1018]BlackMatter leverages LDAP and SMB protocol to discover all hosts in the AD.
Process Discovery [T1057]BlackMatter uses NtQuerySystemInformation to enumerate running processes.
System Service Discovery [T1007]BlackMatter uses EnumServicesStatusExW to enumerate running services on the network.
Lateral Movement [TA0008]Remote Services: SMB/Windows Admin Shares [T1021.002]BlackMatter uses srvsvc.NetShareEnumAll MSRPC function to enumerate and SMB to connect to all discovered shares, including ADMIN$C$SYSVOL, and NETLOGON.
Exfiltration [TA0010]Exfiltration Over Web Service [T1567]BlackMatter attempts to exfiltrate data for extortion.
Impact [TA0040]Data Encrypted for Impact [T1486]BlackMatter remotely encrypts shares via SMB protocol and drops a ransomware note in each directory.
Disk Wipe [T1561]BlackMatter may wipe backup systems.

Bemærk vi bruger Mitre adfærdsprofiler og tabeller samt CISA information i ovenstående. (C) Copyright 2021 by Mitre.org, Cisa.gov og iCare.dk