Το ransomware BlackMatter ξαναχτυπά (αλλά η Sophos το σταματά)
Το ransomware είναι ένας φορέας επίθεσης που βασίζεται στον φόβο. Όσο μεγαλύτερος είναι ο φόβος (δηλ. απώλεια εσόδων, αρνητικός αντίκτυπος στην επωνυμία της επιχείρησης, ανθρώπινο κόστος) τόσο υψηλότερες είναι και οι απαιτήσεις σε λύτρα.
Αυτός είναι και ο βασικός λόγος που οι κυβερνοεγκληματικές ομάδες που εξαπολύουν επιθέσεις ransomware συχνά προσπαθούν να παγιδεύσουν υψηλής αξίας στόχους που είναι πολύ μεγάλοι για να αποτύχουν. Αυξάνεται η πιθανότητα να αποσπάσουν μεγάλα χρηματικά ποσά από τα θύματα τους.
Ένα χτύπημα στην αλυσίδα εφοδιασμού τροφίμων θα αύξανε αναμφισβήτητα τον παράγοντα «φόβο» και για αυτό δεν αποτελεί έκπληξη που είδαμε πρόσφατα να απαιτούνται λύτρα σχεδόν $6 εκατομμυρίων από την εταιρεία τροφίμων New Cooperative, που έχει την έδρα της στην Αϊόβα των ΗΠΑ. Η ομάδα πίσω από την επίθεση αποδείχτηκε ότι δεν ήταν άλλη από την BlackMatter.
Στις αρχές Αυγούστου, στο blog της Sophos έγινε αναφορά στο BlackMatter που αναδύθηκε από τις σκιές του DarkSide Ransomware-as-a-Service (RaaS). Το DarkSide συνδέεται με την επίθεση στην Colonial Pipeline, ένα άλλο συμβάν με ransomware που προκάλεσε πολλά προβλήματα σε έναν υψηλού προφίλ στόχο.
Η τωρινή εκδοχή του BlackMatter φαίνεται να είναι παρόμοια με αυτήν που είχε αναφέρει και στο παρελθόν η Sophos, συμπεριλαμβανομένων και ορισμένων τεχνικών που χρησιμοποιήθηκαν σε παλαιότερες επιθέσεις, όπως η αυτόματη εκτύπωση του σημειώματος για τα λύτρα.
Το Sophos Intercept X σταματά το ransomware BlackMatter
Οι πελάτες που «τρέχουν» προστασία τερματικών συσκευών Sophos Intercept X μπορούν να έχουν το κεφάλι τους ήσυχο γνωρίζοντας ότι προστατεύονται από πολλαπλά επίπεδα άμυνας από τις επιθέσεις ransomware, συμπεριλαμβανομένου και του ransomware BlackMatter.
Η ανίχνευση κακόβουλου λογισμικού βαθιάς εκμάθησης της Sophos είναι σε θέση να προσδιορίσει την εκτέλεση του ransomware BlackMatter. Το παραπάνω είναι εφικτό με τη χρήση τεχνητής νοημοσύνης για να πραγματοποιηθεί σύγκριση του «DNA» του εκτελέσιμου αρχείου με το «DNA» ολόκληρης της ιστορίας του κακόβουλου λογισμικού. Και αν το αρχείο έχει ομοιότητες με ransomware, θα απαγορευτεί προτού καταφέρει να «τρέξει» (να εκτελεστεί).
Εκτός από τη βαθιά εκμάθηση, το Intercept X περιλαμβάνει και την τεχνολογία anti-ransomware CryptoGuard. Αυτό το επίπεδο άμυνας εντοπίζει κακόβουλες διαδικασίες κρυπτογράφησης και τις απενεργοποιεί προτού εξαπλωθούν στο σύστημα. Η μηχανή παρακολούθησης της συμπεριφοράς εντοπίζει επίσης απειλές που εκτελούνται στη μνήμη και επιστρέφει όποια αρχεία έτυχε να κρυπτογραφηθούν στις προηγούμενες ασφαλείς καταστάσεις τους.
Πόροι BlackMatter
- Το ransomware BlackMatter αναδύεται από τη σκιές του DarkSide
- Η άποψη ενός αμυνόμενου σε μια επίθεση με το ransomware DarkSide
- Τι μπορούν να μάθουν οι ομάδες ασφαλείας πληροφορικής από την επίθεση ransomware στην Colonial Pipeline
Πηγή: Sophos