Echtzeit-Schutz vor Ransomware BlackMatter

23. September, 2021

5,9 Millionen US-Dollar, die eigene Geschäftsfähigkeit und die der Geschäftspartner stehen nach der Ransomware-Attacke für den amerikanischen Landwirtschaftsverbund NEW Cooperative Inc. auf dem Spiel: Unternehmensdaten wurden gestohlen und Computersysteme verschlüsselt, das Unternehmen musste seine Systeme in einem ersten Schritt aus dem Netz nehmen. Die Auswirkungen des Angriffs auf die regionale Nahrungsmittel- bzw. Nutztierversorgung sind noch unklar.

Die Ansicht

Nozomi-User, die den Threat Intelligence Service nutzen, sind aktiv vor der beschriebenen BlackMatter-Ransomware geschützt.

IKARUS-Partner Nozomi Networks hat die Ransomware einer ausführlichen Analyse unterzogen. Sämtliche Erkenntnisse fließen laufend in die Nozomi Networks Threat Intelligence ein: Unternehmen, die den Service beispielsweise in Verbindung mit Guardian-Appliances für das Network-Monitoring nutzen, sind bereits aktiv vor der beschriebenen BlackMatter-Attacke geschützt!

BlackMatter: Anti-Debugging-Techniken, Konfiguration und IoCs

Für die Verschlüsselung verwendet BlackMatter laut der Analyse eine Version des ChaCha20 und RSA Algorithmus, um sicherzugehen, dass die Daten der Opfer ohne den Privat Key der Angreifer nicht entschlüsselt werden können. Es werden lokale Backups und die Inhalte des Papierkorbs gelöscht, Prozesse und Services gemäß Konfigurationen beendet, der Desktophintergrund verändert, die Benutzerkontensteuerung umgangen und verschlüsselte Dateien mit einer Opfer-ID laut MachineGuid Registry erweitert. So weit, so üblich.

Zusätzlich verfügt BlackMatter über Fähigkeiten, die die Analyse der Malware vereiteln sollen, indem sie verbirgt, auf welche WinAPIs sie sich stützt, und gezielt auf Debugging-Anzeichen reagiert. Der Industrial Security-Spezialist Nozomi Networks veröffentlicht in einem Blogbeitrag die wichtigsten entschlüsselten Strings aus seiner Analyse sowie einige Skripte, die anderen Forschern helfen können, Schlüsselinformationen aus anderen Instanzen dieser Ransomware zu extrahieren, die in freier Wildbahn auftauchen. Außerdem findet sich in dem Beitrag eine Liste der erkannten Indicators of Compromise.

Prevention & Detection: Echtzeit-Monitoring von IT, OT und IoT-Systemen

Ransomware bedroht längst nicht mehr nur die IT-Systeme von Unternehmen, sondern auch die industrielle Sicherheit. Eine sichere Konvergenz ist dennoch möglich. „Mein wichtigster Tipps neben technischen Maßnahmen zur Echtzeiterkennung von Bedrohungen und Anomalien: Schützen Sie Ihre Backups vor Ransomware!“, so Industrial Cyber Security Experte Herbert Dirnberger von IKARUS.

Alle Informationen, wie Sie Ihre IT-, OT- und IoT-Umgebungen mit den Technologien von Nozomi Networks gegen Ransomware und anderen Cyber-Bedrohungen absichern können, finden Sie unter https://www.ikarussecurity.com/it-ot-iot-security/.

Kontaktieren Sie unsere ExpertInnen unter +43 1 58995 500 oder sales@ikarus.at!

Leseempfehlungen:

Wer kümmert sich um die Sicherheit in der OT?

Quellen:

https://www.nozominetworks.com/blog/blackmatter-ransomware-technical-analysis-and-tools-from-nozomi-networks-labs/

https://www.securitymagazine.com/articles/96135-blackmatters-ransomware-attack-on-new-cooperative-may-impact-food-supply-chain

https://www.ikarussecurity.com/security-news/verhaltensanalysen-anomalieerkennung-und-sichtbarkeit-zusatzschutz-vor-ransomware/

Red Teams, Blue Teams, Purple Teaming

MSSP of the Year 2024

SIEM

Was ist ein SIEM?

Nozomi Guardian Air
HarfangLab Guard
MITRE ATT&CK Framework
v.l.n.r.: Joe Pichlmayr (CEO IKARUS) – Anouck Teiller (CSO HarfangLab) –Alexander van der Bellen (Bundespräsident Österreich) - Frédéric Joureau (Erster Botschaftsrat der französischen Botschaft in Wien) – Christian Fritz (COO IKARUS)
EDR
Cyber Kill Chain
Business Email Compromise
Prognosen für die zehn größten Cybersecurity-Bedrohungen für 2030
E-Mail Verschlüsselung
Schritt für Schritt zum Notfallplan für IT-Security-Incidents
Account Management
Bedrohung

WIR FREUEN UNS AUF SIE!

IKARUS Security Software GmbH
Blechturmgasse 11
1050 Wien

Telefon: +43 1 58995-0
Sales Hotline: +43 1 58995-500
sales@ikarus.at

SUPPORT-HOTLINE:

Support-Infoseite

Support-Hotline:
+43 1 58995-400
support@ikarus.at

Support-Zeiten:
Mo bis Do: 8.00 – 17.00 Uhr
Fr: 8.00 – 15.00 Uhr
24/7 Support nach Vereinbarung

Fernwartung:
AnyDesk Download