Очень темные дела

РУССКИЙ

ENGLISH

РУССКИЙ

ENGLISH

03.11.2021

Очень темные дела

BlackMatter и его жертвы

Андрей Жданов

специалист по проактивному поиску киберугроз Group-IB

Сегодня, 3 ноября, преступная группа BlackMatter объявила о закрытии своей партнерской программы из-за "давления со стороны властей". Однако, это не значит, что операторы BlackMatter и их партнеры прекратят атаки. Скорее всего, они присоединятся к другим программам RaaS ( Ransomware-as-a-Service) или, как это случалось ранее, после ребрендинга вновь возьмутся за старое. Помните, как августе, в нашей первой статье о BlackMatter мы говорили о том, что новый вымогатель появился сразу после исчезновения из публичного поля двух самых активных и агрессивных преступных группировок – DarkSide и REvil, атаковавших такие крупные компании, как Toshiba, JBS S.A., Colonial Pipeline и Kaseya. Но, если летом у исследователей еще были вопросы, кто стоит за новой программой-вымогателем, то сейчас ни у кого не осталось сомнений, что BlackMatter является продолжателем DarkSide, и если новичок еще не затмил своего прародителя, то это дело лишь времени.

Одной из первых жертв BlackMatter в конце июля 2021 года стало американское архитектурное бюро. С того момента аппетиты вымогателей значительно выросли, атаки участились, инструментарий, используемый злоумышленниками, постоянно совершенствуется. Сейчас в списке жертв BlackMatter более полусотни компаний из США, Австрии, Италии, Франции, Японии, средняя сумма выкупа составляет $5,3 млн, а максимальная — $30 млн, которую атакующие потребовали от японской корпорации Olympus.

Партнеры BlackMatter пытаются тщательно подбирать своих жертв, чтобы не вызывать лишнего шума, однако это не получается. С момента первых атак BlackMatter к ним и так приковано пристальное внимание со стороны исследователей. А 18 октября 2021 года CISA, ФБР и АНБ США выпустили совместные рекомендации, в которых заявили об атаках с июля 2021 года программ-вымогателей BlackMatter на объекты критически важной инфраструктуры США.

Поскольку специалисты Лаборатории компьютерной криминалистики Group-IB отслеживают появление новых образцов BlackMatter для Windows и Linux., Андрей Жданов, специалист по проактивному поиску киберугроз Group-IB, поделится новой информацией о результатах исследования.

BlackMatter для Windows

В зависимости от параметров командной строки программа-вымогатель для Windows может функционировать в 5 режимах. Нами были подобраны по хешам ключи командной строки.

-path <PATH> – шифрование указанного объекта (каталога, файла, сетевого ресурса);

-safe – регистрация себя в ключе автозапуска системного реестра RunOnce, перезагрузка в безопасном режиме для шифрования файлов в безопасном режиме;

-wall – создание изображения BMP с текстом о шифровании файлов и установка его в качестве обоев рабочего стола.

<PATH> – шифрование указанного каталога/файла.

При иных параметрах или их отсутствии осуществляется полное шифрование системы в соответствии с настройками в конфигурации. По завершении шифрования программа создает изображение BMP с текстом о шифровании файлов, которое устанавливает в качестве обоев рабочего стола. А начиная с версии 1.4, вымогатель может также выводить на принтер по умолчанию текст с требованием о выкупе.

При запуске BlackMatter проверяет права текущего пользователя, и в случае необходимости пытается обойти контроль учетных записей UAC (User Account Control) путем повышения привилегий с помощью COM-интерфейса ICMLuaUtil. Также, если установлен соответствующий флаг в конфигурации, осуществляет попытки аутентификации с использованием учетных записей, содержащихся в конфигурационных данных.

Перед шифрованием BlackMatter удаляет теневые копии разделов с использованием запросов WQL (WMI Query Language).

Для шифрования файлов в BlackMatter используется наиболее производительная реализация многопоточности на основе использования I/O (input/output) completion port. Для потоков перечисления и шифрования файлов программой устанавливается также наибольший приоритет (THREAD_PRIORITY_HIGHEST). Шифрование содержимого файлов по умолчанию осуществляется в пределах только первого мегабайта. В ранних версиях шифрование данных осуществлялось с использованием алгоритма потокового шифрования Salsa20. Судя по всему, авторы BlackMatter так же, как авторы другого вымогателя Petya пять лет назад, допустили ошибки в реализации алгоритма Salsa20. Начиная же с версии 1.9, содержимое файлов шифруется уже с использованием модифицированной версии реализации алгоритма ChaCha20, предположительно взятой из криптобиблиотеки CryptoPP. Причем алгоритм шифрования ChaCha20 реализован с использованием инструкций процессора SSSE3. Шифрование ключей ChaCha20 осуществляется с использованием открытого ключа RSA-1024. Блок данных с зашифрованным ключом шифрования дописывается к концу файла. Имена зашифрованных файлов имеют следующий вид:

<FILENAME>. <VICTIM_ID>

FILENAME – оригинальное имя файла;

VICTIM_ID – идентификатор жертвы, формируемый на основе строки, содержащейся в параметре MachineGuid раздела реестра HKLM\SOFTWARE\Microsoft\Cryptography.

В конфигурации BlackMatter содержатся в виде списков контрольных сумм (хешей) пропускаемые в процессе шифрования имена каталогов, файлов и расширений.

В каждом обработанном каталоге вымогатель создает текстовые файлы, содержащие требование о выкупе:

< VICTIM_ID>.README.txt

Конфигурация

Конфигурационные данные BlackMatter для Windows содержатся в секции, замаскированной под секцию ресурсов ".rsrс", при этом ресурсы в программе как таковые отсутствуют.

Первое 64-битное число (0F8B2AB512017D0F5h) в секции представляет начальное значение для генератора псевдослучайной последовательности (random seed), используемого для шифрования данных программы. Следующее 32-битное значение представляет собственно размер конфигурационных данных, содержащихся далее за ним. До шифрования конфигурационные данные были предварительно сжаты с использованием популярного у авторов шифровальщиков алгоритма сжатия aPLib. Ранее этот алгоритм встречался, к примеру, в таких семействах программ-вымогателей DarkSide, DoppelPaymer, Clop и других.

Конфигурационные данные после расшифровки и распаковки.

Логические флаги, определяющие настройки программы-вымогателя:

0;Шифрование в больших файлах блоков размером в 1 мегабайт через интервал, зависящий от размера файла 1;Осуществлять попытки аутентификации с использованием содержащихся в конфигурации учетных данных 2;Монтировать разделы и шифровать на них файлы. Начиная с версии 1.4, если установлен данный флаг, дополнительно осуществляется шифрование файлов Microsoft Exchange, которые содержатся в каталоге "%ExchangeInstallPath%\Mailbox" 3;Шифровать файлы на доступных сетевых ресурсах. При этом программа также перечисляет компьютеры Active Directory с помощью запросов LDAP. 4;Завершать процессы, содержащие в своем имени указанные подстроки. Список подстрок содержится в конфигурационных данных. 5;Останавливать и удалять службы. Список имен служб содержится в конфигурационных данных. 6;Создавать и проверять мьютекс: Global\ [MUTEX_NAME] MUTEX_NAME – имя мьютекса, формируемое на основе строки из параметра реестра MachineGuid. 7;По завершении шифрования вывести на печать текстовый файл с требованием о выкупе (версия 1.9 и выше). 8;Передавать злоумышленникам информацию о скомпрометированной системе и результатах шифрования. Информация в зашифрованном виде (AES-128 ECB) направляется в виде HTTP-запросов POST. Список адресов содержится в конфигурационных данных.

Таблица смещений значений параметров конфигурации

Таблица содержит 32-битные числа, представляющие собой смещения относительно начала самого списка на остальные поля конфигурационных данных в виде строк Base64, заканчивающихся нулевым байтом. Если смещение равно 0, значение поля отсутствует.

Известные версии

1.2;2021-07-23 20:51:18;Первая выявленная версия BlackMatter, использованная для атаки. ;2021-07-23 20:51:30;Реализация программы-вымогателя в виде DLL. Часть выявленных таких образцов содержались в обфусцированных скриптах PowerShell, при выполнении скриптов они инжектировались в текущий процесс PowerShell. 1.4;2021-07-29 18:00:47;Добавлена возможность шифрования файлов Microsoft Exchange. После завершения шифрования осуществляется печать на принтер по умолчанию текстового файла с требованием о вымогательстве. 1.6;2021-08-03 18:10:59;Печать текстового файла с требованием о вымогательстве не осуществляется, если имя принтера по умолчанию содержит подстроку "PDF". ;2021-08-03 18:11:09;Реализация программы-вымогателя в виде DLL. Выявленные образцы содержались в обфусцированных скриптах PowerShell, при запуске скриптов они инжектировались в текущий процесс PowerShell. 1.9;2021-08-12 22:22:01; 1)Использование для шифрования содержимого файлов алгоритма потокового шифрования ChaCha20. 2) Файлы с расширениями "mdf", "ndf", "edb", "mdb" и "accdb" шифруются как большие файлы независимо от значения соответствующего флага в конфигурации. 3) В конфигурацию добавлен список контрольных сумм имен компьютеров, на которых не осуществляется шифрование в безопасном режиме. 4) В конфигурацию добавлен флаг печати на принтер по умолчанию текстового файла с требованием о вымогательстве после завершения шифрования. 5) В конфигурацию добавлена контрольная сумма текстового файла с требованием о вымогательстве. 2.0;2021-08-16 07:13:07;Изменен алгоритм шифрования данных программы. ;2021-09-26 08:10:51;При печати текстового файла с требованием о вымогательстве проверяется не имя принтера по умолчанию, а имя порта. Печать не осуществляется, если имя порта принтера по умолчанию соответствует "XPSPort:", "SHRFAX:", "FILE:" или "PORTPROMPT:" ;2021-09-26 08:10:44;Реализация в виде DLL. Выявленные образцы содержались в обфусцированных скриптах PowerShell, при запуске скриптов они инжектировались в текущий процесс PowerShell. 3.0; 2021-10-22 15:32:08; 1) Изменено шифрование данных программы. 2) Изменена реализация алгоритма шифрования ChaCha20. 3) Защита блоков памяти с ключевой информацией от просмотра другими пользователями. 4) Изменено шифрование больших файлов. 5) За исключением файлов изображений (png, gif, jpg) имена зашифрованных файлов заменяются 7 случайными символами. 6) Программа извлекает иконку (значок), которую ассоциирует в системе с расширением зашифрованных файлов (VICTIM_ID).

BlackMatter для Linux

Целью программ-вымогателей BlackMatter для Linux являются серверы VMware ESXi. В соответствии с настройками в конфигурационных данных программы-вымогатели перед шифрованием файлов могут останавливать виртуальные машины, завершать указанные процессы. Также программы-вымогатели останавливают файрвол. Для шифрования файлов виртуальных машин программа-вымогатель с помощью утилиты esxcli получает список хранилищ с файловыми системами "vmfs", "vffs" и "nfs".

BlackMatter для Linux осуществляет многопоточное шифрование файлов с расширениями, указанными в конфигурации. Шифрование данных осуществляется блоками, кратными одному мегабайту, с использованием алгоритма потокового шифрования HC-256. Шифрование ключей HC-256 осуществляется с использованием открытого ключа RSA-4096. Для реализации алгоритмов шифрования использована криптобиблиотека CryptoPP.

Передача информации на ресурсы злоумышленников в сети интернет реализована в программе с помощью библиотеки libcurl.

Конфигурация

Конфигурационные данные BlackMatter для Linux содержатся в секции ".cfgETD" ELF-файла. Данные зашифрованы, сжаты с использованием библиотеки сжатия данных zlib и закодированы с использованием Base64.

Зашифрованные конфигурационные данные после декодирования Base64 и распаковки zlib:

Шифрование конфигурационных данных осуществляется с помощью циклической операции побайтного XOR с использованием ключа, содержащегося в первых 32 байтах.

После расшифровки конфигурационные данные имеют формат JSON.

Параметры конфигурации

rsa;;Открытый ключ шифрования RSA в формате PEM (DER в кодировке Base64) remove-self (true, false);;Удалять себя по завершении. worker-concurrency;;Количество потоков шифрования (0 – по количеству процессоров). disk;enable (true, false);Шифровать файлы на диске. ;type (single, multiple);Режим шифрования. ;dark-size;Максимальный размер шифруемых в файле данных в мегабайтах. ;white-size;Максимальный размер не шифруемых данных в мегабайтах (используется в режиме multiple). ;min-size;Минимальный размер шифруемых файлов в мегабайтах (0 – по умолчанию 1 МБ). ;extension-list;Список расширений шифруемых файлов. log;enable (true, false);Создать и вести файл отчета. ;level (verbose, info);Глубина отчета. ;path;Путь к файлу отчета. message;enable (true, false);Создать текстовый файл с требованием о вымогательстве. ;file-name;Имя текстового файла. ;file-content;Содержимое текстового файла. landing;enable (true, false);Передавать информацию о скомпрометированной системе и результатах шифрования. Информация в зашифрованном виде (AES-128 ECB) направляется в виде HTTP-запросов POST. ;bot-id;Идентификатор компании (значение идентично bot_company из Windows-версии). ;key;Ключ шифрования AES-128 ECB для шифрования передаваемых данных. ;urls;Список адресов сети интернет для передачи идентификационной информации. kill-vm;enable (true, false);Останавливать виртуальные машины. ;ignore-list;Белый список имен виртуальных машин. kill-process;enable (true, false);Завершать процессы. ;list;Список завершаемых процессов.

Известные версии

Жертвы и злоумышленники

Для идентификации своих жертв BlackMatter использует уникальный 16-байтный идентификатор, содержащийся в конфигурационных данных: company_id (Windows-версия) и bot-id (Linux-версия). Для каждой жертвы атакующие создают в сети Tor чат для взаимодействия, ссылка на который указывается в текстовом файле с требованием о вымогательстве.

По истечении срока ультиматума злоумышленники удваивают сумму выкупа, а впоследствии после отказа жертвы публикуют похищенные документы.

Первоначально эти чаты были публичными, и многие могли наблюдать за перепиской "техподдержки" BlackMatter со своими жертвами и даже пытались состязаться с ними в остроумии.

Source: https://twitter.com/ddd1ms/status/1441044423798820889

С 23 сентября 2021 года партнеры BlackMatter закрыли публичный доступ к чатам, теперь для входа требуется сессионный ключ, для получения которого необходимо пройти верификацию компании и подтвердить свою принадлежность к жертве.

Виктимология

Идентификаторы company_id и ссылки Tor, извлеченные из программ-вымогателей и текстовых файлов с требованием о вымогательстве.

512478c08dada2af19e49808fbda5b0b;http://supp24yy6a66hwszu2piygicgwzdtbwftb76htfj7vnip3getgqnzxid[.]onion/7NT6LXKC1XQHW5039BLOV. 5ecf7b9cde33f85a3eec9350275b5c4f;http://supp24maprinktc7uizgfyqhisx7lkszb6ogh6lwdzpac23w3mh4tvyd[.]onion/OR7OTLBK8D5UVHZ0Q. caa0d21adc7bdc4dc424497512a8f37d;http://supp24maprinktc7uizgfyqhisx7lkszb6ogh6lwdzpac23w3mh4tvyd[.]onion/8ZHJ2G2FJDX9JSHTA6S 32bd08ad5e5e881aa2634621d611a1a5;http://supp24maprinktc7uizgfyqhisx7lkszb6ogh6lwdzpac23w3mh4tvyd[.]onion/OYPF561W4U8HVA0NLVCKJCZB e4aaffc36f5d5b7d597455eb6d497df5;http://supp24yy6a66hwszu2piygicgwzdtbwftb76htfj7vnip3getgqnzxid[.]onion/5AZHJFLKJNPOJ4F5O5T b8726db5d916731db5625cfc30c4f7d9;http://supp24maprinktc7uizgfyqhisx7lkszb6ogh6lwdzpac23w3mh4tvyd[.]onion/5PBOYRSETHVDBDPTL 0c6ca0532355a106258791f50b66c153;http://supp24maprinktc7uizgfyqhisx7lkszb6ogh6lwdzpac23w3mh4tvyd[.]onion/RSW33BDOYPLWM78U9A09BZDI 506d1d0f4ed51ecc3e9cf1839a4b21a7;http://supp24maprinktc7uizgfyqhisx7lkszb6ogh6lwdzpac23w3mh4tvyd[.]onion/6O5KBMY42CFGLLU7L2MW4 10d51524bc007aa845e77556cdcab174;http://supp24yy6a66hwszu2piygicgwzdtbwftb76htfj7vnip3getgqnzxid[.].onion/9MDXJ6LXOUEK84ALNT 879194e26a0ed7cf50f13c681e711c82;http://supp24maprinktc7uizgfyqhisx7lkszb6ogh6lwdzpac23w3mh4tvyd[.]onion/9YDGH04DC6ZS7RP0085Q 90a881ffa127b004cec6802588fce307;http://supp24yy6a66hwszu2piygicgwzdtbwftb76htfj7vnip3getgqnzxid[.]onion/X3452I2VDTHM30QX 58c572785e542f3750b57601df612fc4; http://supp24yy6a66hwszu2piygicgwzdtbwftb76htfj7vnip3getgqnzxid[.]onion/YX6RXMC65MRX8LLQ bab21ee475b52c0c9eb47d23ec9ba1d1; http://supp24yy6a66hwszu2piygicgwzdtbwftb76htfj7vnip3getgqnzxid[.]onion/GDBJS76DH3D4IKQD2QO7R 28cc82fd466e0d0976a6359f264775a8; http://supp24yy6a66hwszu2piygicgwzdtbwftb76htfj7vnip3getgqnzxid[.]onion/EBVCVJNCPM6A3NKJ 24483508bccfe72e63b26a1233058170; http://supp24yy6a66hwszu2piygicgwzdtbwftb76htfj7vnip3getgqnzxid[.]onion/0JOA98TDMXLHJ77VDOO 04bdf8557fa74ea0e3adbd2975efd274; http://supp24yy6a66hwszu2piygicgwzdtbwftb76htfj7vnip3getgqnzxid[.]onion/A9K0IM6DK7ILWAV908R3 64139b5d8a3f06921a9364c262989e1f; http://supp24maprinktc7uizgfyqhisx7lkszb6ogh6lwdzpac23w3mh4tvyd[.]onion/9BEBTCZQN6BQJ94DJXJ 5791ae39aeab40b5e8e33d8dce465877; http://supp24maprinktc7uizgfyqhisx7lkszb6ogh6lwdzpac23w3mh4tvyd[.]onion/LEOYRMQLSRHFGFGYWF2T5 d58b3b69acc48f82eaa82076f97763d4; http://supp24yy6a66hwszu2piygicgwzdtbwftb76htfj7vnip3getgqnzxid[.]onion/O3KTUJZRE6CB4Q1OBR b0e039b42ef6c19c2189651c9f6c390e; http://supp24yy6a66hwszu2piygicgwzdtbwftb76htfj7vnip3getgqnzxid[.]onion/LH2WLI60XU9O283RYADW 6bed8cf959f0a07170c24bb972efd726; http://supp24maprinktc7uizgfyqhisx7lkszb6ogh6lwdzpac23w3mh4tvyd[.]onion/GBSLNRB4NL0OG6FX b368c1ee6bca2086d8169628466c0d3b; http://supp24maprinktc7uizgfyqhisx7lkszb6ogh6lwdzpac23w3mh4tvyd[.]onion/IRCWUUXN0Y4BIFFZW 14a875a2bd63041b2b3e5c323e8d5eee; http://supp24yy6a66hwszu2piygicgwzdtbwftb76htfj7vnip3getgqnzxid.[.]onion/D4MX4VGFCMO7MFQ6P d73c69209fbe768d5fa7ffbcad509c66; http://supp24maprinktc7uizgfyqhisx7lkszb6ogh6lwdzpac23w3mh4tvyd[.]onion/1ILW209PJZUAJJEX d0e84579a05c8e92e95eee8f5d0000e5; http://supp24yy6a66hwszu2piygicgwzdtbwftb76htfj7vnip3getgqnzxid[.]onion/5PRYG0PCO2OW528IDWU3VFPE 30f784136940874b4eb68188a3bfb246; http://supp24maprinktc7uizgfyqhisx7lkszb6ogh6lwdzpac23w3mh4tvyd[.]onion/24HUMRRAZYQNDJ8A 207aab0afc614ac68359fc63f9665961; http://supp24maprinktc7uizgfyqhisx7lkszb6ogh6lwdzpac23w3mh4tvyd[.]onion/EWX33VYY3IGOXSG5ZZ2 3e8e2ab5fbb392508535983b7446ba17; http://supp24maprinktc7uizgfyqhisx7lkszb6ogh6lwdzpac23w3mh4tvyd[.]onion/S2A4H6RGPHHLU1IJRLNTN 09c87c28bed23dbe6ff5aa561d38766b; http://supp24yy6a66hwszu2piygicgwzdtbwftb76htfj7vnip3getgqnzxid[.]onion/Q0DVRYWVDUGDD22V0K7XX 6e46d36711d8be390c2b8121017ab146;http://supp24yy6a66hwszu2piygicgwzdtbwftb76htfj7vnip3getgqnzxid[.]onion/HCWB50PNECHW5CRCQF 4e591a315c54e8800dae714320555fa5;http://supp24maprinktc7uizgfyqhisx7lkszb6ogh6lwdzpac23w3mh4tvyd[.]onion/U6H6RKDF6W3B8XOWL a77ac611487df21715d824d8ccbf3f6a;http://supp24yy6a66hwszu2piygicgwzdtbwftb76htfj7vnip3getgqnzxid[.]onion/TMWRS0D3MP750FUKRWCVE b61fd808b57c1cab3824a887857bf6a8;http://supp24maprinktc7uizgfyqhisx7lkszb6ogh6lwdzpac23w3mh4tvyd[.]onion/EXJ0CFHWOZIISIE4NG3LT 610e4366504d4d2848359d75d84ec295;http://supp24yy6a66hwszu2piygicgwzdtbwftb76htfj7vnip3getgqnzxid[.]onion/Z1DHIS62B9LUNC74 0361b6a1f37016ed147e7617a3c08300;http://supp24yy6a66hwszu2piygicgwzdtbwftb76htfj7vnip3getgqnzxid[.]onion/QLA44XK2K4K1RZL9 ; http://supp24maprinktc7uizgfyqhisx7lkszb6ogh6lwdzpac23w3mh4tvyd[.]onion/OERPnbmCxAOFXVsxZMyaWPGg

Как уже было сказано, партнеры BlackMatter пытаются не привлекать внимание к своей деятельности, поэтому для целей своих атак злоумышленники выбирает средний и малый бизнес. Однако атаки на Olympus и NEW cooperative вызвали широкий общественный резонанс.

Индикаторы компрометации

https://paymenthacks[.]com
http://paymenthacks[.]com
https://mojobiden[.]com
http://mojobiden[.]com
https://nowautomation[.]com
http://nowautomation[.]com
https://fluentzip[.]org
http://fluentzip[.]org

SHA-256

072158f5588440e6c94cb419ae06a27cf584afe3b0cb09c28eff0b4662c15486

22d7d67c3af10b1a37f277ebabe2d1eb4fd25afbd6437d4377400e148bcc08d6

2c323453e959257c7aa86dc180bb3aaaa5c5ec06fa4e72b632d9e4b817052009

3a03530c732ebe53cdd7c17bee0988896d36c2b632dbd6118613697c2af82117

4ad9432cc817afa905bab2f16d4f713af42ea42f5e4fcf53e6d4b631a7d6da91

6155637f8b98426258f5d4321bce4104df56c7771967813d61362c2118632a7b

668a4a2300f36c9df0f7307cc614be3297f036fa312a424765cdb2c169187fe6

72687c63258efe66b99c2287748d686b6cca2b0eb6f5398d17f31cb46294012c

7f6dd0ca03f04b64024e86a72a6d7cfab6abccc2173b85896fc4b431990a5984

c6e2ef30a86baa670590bd21acf5b91822117e0cbe6060060bc5fe0182dace99

c728e3a0d4a293e44314d663945354427848c220d05d5d87cdedd9995fee3dfe

f63c6d08ebfba65173763c61d3767667936851161efa51ff4146c96041a02b20

84af3f15701d259f3729d83beb15ca738028432c261353d1f9242469d791714f

a6e14988d91f09db44273c79cba51c16b444afafa37ba5968851badb2a62ef27

7c642cdeaa55f56c563d82837f4dc630583b516a5d02d5a94b57b65489d74425

cf60d0d6b05bfe2e51ca9dac01a4ae506b90d78d8d9d0fc266e3c01d8d2ba6b7

6d4712df42ad0982041ef0e2e109ab5718b43830f2966bd9207a7fac3af883db

86c84c07e27cc8aba129e1cf51215b65c445f178b94f2e8c4c10e6bc110daa94

b824bbc645f15e213b4cb2628f7d383e9e37282059b03f6fe60f7c84ea1fed1f

e4fd947a781611c85ea2e5afa51b186de7f351026c28eb067ad70028acd72cda

2466fca0e29b06c78ffa8a44193fb58c30e6bec4e54bbef8e6622349b95cce4c

0751c422962dcd500d7cf2cf8bf544ddf5b2fe3465df7dd9b9998f6bba5e08a4

1c63a4fdee1528429886a0de5e89eaa540a058bf27cd378b8d139e045a2f7849

1eea3cbd729d4493c0c0a84efe6840abf1760efe221dc971d32ca5017b5c19c2

20742987e6f743814b25e214f8b2cd43111e2f60a8856a6cca87cafd85422f41

2cdb5edf3039863c30818ca34d9240cb0068ad33128895500721bcdca70c78fd

2e50eb85f6e271001e69c5733af95c34728893145766066c5ff8708dcc0e43b2

3a4bd5288b89aa26fbe39353b93c1205efa671be4f96e50beae0965f45fdcc40

4be85e2083b64838fb66b92195a250228a721cdb5ae91817ea97b37aa53f4a2b

520bd9ed608c668810971dbd51184c6a29819674280b018dc4027bc38fc42e57

5da8d2e1b36be0d661d276ea6523760dbe3fa4f3fdb7e32b144812ce50c483fa

66e6563ecef8f33b1b283a63404a2029550af9a6574b84e0fb3f2c6a8f42e89f

706f3eec328e91ff7f66c8f0a2fb9b556325c153a329a2062dc85879c540839d

8323fdfda08300c691d330badec2607ea050cc10ee39934faeebedf3877df3ac

8f1b0affffb2f2f58b477515d1ce54f4daa40a761d828041603d5536c2d53539

9cf9441554ac727f9d191ad9de1dc101867ffe5264699cafcf2734a4b89d5d6a

b0e929e35c47a60f65e4420389cad46190c26e8cfaabe922efd73747b682776a

b4b9fdf30c017af1a8a3375218e43073117690a71c3f00ac5f6361993471e5e7

cb5a89a31a97f8d815776ff43f22f4fec00b32aae4f580080c7300875d991163

e4a2260bcba8059207fdcc2d59841a8c4ddbe39b6b835feef671bceb95cd232d

e9b24041847844a5d57b033bf0b41dc637eba7664acfb43da5db635ae920a1b4

eaac447d6ae733210a07b1f79e97eda017a442e721d8fafe618e2c789b18234b

eafce6e79a087b26475260afe43f337e7168056616b3e073832891bf18c299c1

f7b3da61cb6a37569270554776dbbd1406d7203718c0419c922aa393c07e9884

496cd9b6b6b96d6e781ab011d1d02ac3fc3532c8bdd07cae5d43286da6e4838d

2aad85dbd4c79bd21c6218892552d5c9fb216293a251559ba59d45d56a01437c

4524784688e60313b8fefdebde441ca447c1330d90b86885fb55d099071c6ec9

5236a8753ab103634867289db0ba1f075f0140355925c7bd014de829454a14a0

69e5f8287029bcc65354abefabb6854b4f7183735bd50b2da0624eb3ae252ea8

730f2d6243055c786d737bae0665267b962c64f57132e9ab401d6e7625c3d0a4

8eada5114fbbc73b7d648b38623fc206367c94c0e76cb3b395a33ea8859d2952

ccee26ea662c87a6c3171b091044282849cc8d46d4b9b9da6cf429b8114c4239

ed47e6ecca056bba20f2b299b9df1022caf2f3e7af1f526c1fe3b8bf2d6e7404

fe2b2beeff98cae90f58a5b2f01dab31eaa98d274757a7dd9f70f4dc8432a6e2

26a7146fbed74a17e9f2f18145063de07cc103ce53c75c8d79bbc5560235c345

7a223a0aa0f88e84a68da6cde7f7f5c3bb2890049b0bf3269230d87d2b027296

9bae897c19f237c22b6bdc024df27455e739be24bed07ef0d409f2df87eeda58

2f20732aaa3d5ce8d2efeb37fe6fed7e73a29104d8227a1160e8538a3ee27dad

9a8cd3a30e54a2ebb6d73fd7792ba60a6278a7301232321f226bb29fb8d0b3d6

1247a68b960aa81b7517c614c12c8b5d1921d1d2fdf17be636079ad94caf970f

6a7b7147fea63d77368c73cef205eb75d16ef209a246b05698358a28fd16e502

d4645d2c29505cf10d1b201826c777b62cbf9d752cb1008bef1192e0dd545a82

YARA rules

/*
BlackMatter ransomware
*/

import "elf"

rule DarkSide_BM
{
    meta:
        author = "Andrey Zhdanov"
        company = "Group-IB"
        family = "ransomware.darkside_blackmatter"
        description = "DarkSide/BlackMatter ransomware Windows payload"
        severity = 10
        score = 100

    strings:
        $h1 = { 64 A1 30 00 00 00 8B B0 A4 00 00 00 8B B8 A8 00
                00 00 83 FE 05 75 05 83 FF 01 }

    condition:
        ((uint16(0) == 0x5A4D) and (uint32(uint32(0x3C)) == 0x00004550)) and
        (
            (1 of ($h*))
        )
}

rule BlackMatter
{
    meta:
        author = "Andrey Zhdanov"
        company = "Group-IB"
        family = "ransomware.blackmatter.windows"
        description = "BlackMatter ransomware Windows payload"
        severity = 10
        score = 100

    strings:
        $h0 = { 80 C6 61 80 EE 61 C1 CA 0D 03 D0 }
        $h1 = { 02 F1 2A F1 B9 0D 00 00 00 D3 CA 03 D0 }
        $h2 = { 3C 2B 75 04 B0 78 EB 0E 3C 2F 75 04 B0 69 EB 06
                3C 3D 75 02 B0 7A }
        $h3 = { 33 C0 40 40 8D 0C C5 01 00 00 00 83 7D 0? 00 75
                04 F7 D8 EB 0? }

    condition:
        ((uint16(0) == 0x5A4D) and (uint32(uint32(0x3C)) == 0x00004550)) and
        (
            (1 of ($h*))
        )
}

rule BlackMatter_Linux
{
    meta:
        author = "Andrey Zhdanov"
        company = "Group-IB"
        family = "ransomware.blackmatter.linux"
        description = "BlackMatter ransomware Linux payload"
        severity = 10
        score = 100

    strings:
        $h0 = { 0F B6 10 84 D2 74 19 0F B6 34 0F 40 38 F2 74 10
                48 83 C1 01 31 F2 48 83 F9 20 88 10 49 0F 44 C9
                48 83 C0 01 4C 39 C0 75 D7 }
        $h1 = { 44 42 46 44 C7 4? [1-2] 30 35 35 43 C7 4? [1-2]
                2D 39 43 46 C7 4? [1-2] 32 2D 34 42 C7 4? [1-2]
                42 38 2D 39 C7 4? [1-2] 30 38 45 2D C7 4? [1-2]
                36 44 41 32 C7 4? [1-2] 32 33 32 31 C7 4? [1-2]
                42 46 31 37 }

    condition:
        (uint32(0) == 0x464C457F) and
        (
            (1 of ($h*)) or
            for any i in (0..elf.number_of_sections-2):
            (
                (elf.sections[i].name == ".app.version") and
                (elf.sections[i+1].name == ".cfgETD")
            )
        )
}

Что делать, если данные вашей компании зашифровали?

Подробный мануал от экспертов Group-IB. Жми сюда!

Что дает профессиональное реагирование на инцидент?

Подробный мануал от экспертов Group-IB. Жми сюда!

Рекомендации для защиты сети от шифровальщиков

Обезопасьте используемые средства удаленного доступа. Используйте мультифакторную аутентификацию или, как минимум, сложные и регулярно сменяемые пароли.

Незамедлительно устраняйте уязвимости в публично доступных приложениях, особенно те, которые могут позволить атакующим преодолеть внешний периметр.

Внедрите комплексную защиту электронной почты, которая позволит обнаруживать и блокировать самые сложные угрозы. Подробнее тут.

Контролируйте работу подрядчиков в вашей сети. Удаленный доступ с их стороны должен быть строго регламентирован.

Убедитесь, что учетные записи имеют минимальные привилегии в системах. В случае компрометации это затруднит атакующим продвижение по сети.

Незамедлительно устраняйте уязвимости на узлах внутренней сети, которые могут позволить атакующим повысить привилегии или продвинуться по сети.

Осуществляйте мониторинг использования инструментов двойного назначения, которые могут помочь атакующим провести сетевую разведку, получить аутентификационные данные и пр.

Ограничьте доступ к облачным хранилищам. Это может затруднить атакующим выгрузку данных из корпоративной сети.

Используйте отдельные учетные записи с мультифакторной аутентификацией для доступа к серверам, содержащим резервные копии. Кроме этого, убедитесь, что у вас также есть оффлайн-копии.

Внедрите современное средство мониторинга и блокирования угроз, которое позволяет локализовать и нейтрализовать атаку на любом этапе ее жизненного цикла. Подробнее тут.

Более подробную информацию об атаках с использованием программ-вымогателей, управляемых вручную, можно получить в отчете Group-IB "Программы-вымогатели 2020/2021":