5,9 Millionen US-Dollar, die eigene Geschäftsfähigkeit und die der Geschäftspartner stehen nach der Ransomware-Attacke für den amerikanischen Landwirtschaftsverbund NEW Cooperative Inc. auf dem Spiel: Unternehmensdaten wurden gestohlen und Computersysteme verschlüsselt, das Unternehmen musste seine Systeme in einem ersten Schritt aus dem Netz nehmen. Die Auswirkungen des Angriffs auf die regionale Nahrungsmittel- bzw. Nutztierversorgung sind noch unklar.

Nozomi-User, die den Threat Intelligence Service nutzen, sind aktiv vor der beschriebenen BlackMatter-Ransomware geschützt.

IKARUS-Partner Nozomi Networks hat die Ransomware einer ausführlichen Analyse unterzogen. Sämtliche Erkenntnisse fließen laufend in die Nozomi Networks Threat Intelligence ein: Unternehmen, die den Service beispielsweise in Verbindung mit Guardian-Appliances für das Network-Monitoring nutzen, sind bereits aktiv vor der beschriebenen BlackMatter-Attacke geschützt!

BlackMatter: Anti-Debugging-Techniken, Konfiguration und IoCs

Für die Verschlüsselung verwendet BlackMatter laut der Analyse eine Version des ChaCha20 und RSA Algorithmus, um sicherzugehen, dass die Daten der Opfer ohne den Privat Key der Angreifer nicht entschlüsselt werden können. Es werden lokale Backups und die Inhalte des Papierkorbs gelöscht, Prozesse und Services gemäß Konfigurationen beendet, der Desktophintergrund verändert, die Benutzerkontensteuerung umgangen und verschlüsselte Dateien mit einer Opfer-ID laut MachineGuid Registry erweitert. So weit, so üblich.

Zusätzlich verfügt BlackMatter über Fähigkeiten, die die Analyse der Malware vereiteln sollen, indem sie verbirgt, auf welche WinAPIs sie sich stützt, und gezielt auf Debugging-Anzeichen reagiert. Der Industrial Security-Spezialist Nozomi Networks veröffentlicht in einem Blogbeitrag die wichtigsten entschlüsselten Strings aus seiner Analyse sowie einige Skripte, die anderen Forschern helfen können, Schlüsselinformationen aus anderen Instanzen dieser Ransomware zu extrahieren, die in freier Wildbahn auftauchen. Außerdem findet sich in dem Beitrag eine Liste der erkannten Indicators of Compromise.

Prevention & Detection: Echtzeit-Monitoring von IT, OT und IoT-Systemen

Ransomware bedroht längst nicht mehr nur die IT-Systeme von Unternehmen, sondern auch die industrielle Sicherheit. Eine sichere Konvergenz ist dennoch möglich. „Mein wichtigster Tipps neben technischen Maßnahmen zur Echtzeiterkennung von Bedrohungen und Anomalien: Schützen Sie Ihre Backups vor Ransomware!“, so Industrial Cyber Security Experte Herbert Dirnberger von IKARUS.

Alle Informationen, wie Sie Ihre IT-, OT- und IoT-Umgebungen mit den Technologien von Nozomi Networks gegen Ransomware und anderen Cyber-Bedrohungen absichern können, finden Sie unter https://www.ikarussecurity.com/it-ot-iot-security/.

Kontaktieren Sie unsere ExpertInnen unter +43 1 58995 500 oder sales@ikarus.at!

Leseempfehlungen:

Wer kümmert sich um die Sicherheit in der OT?

Quellen:

https://www.nozominetworks.com/blog/blackmatter-ransomware-technical-analysis-and-tools-from-nozomi-networks-labs/

https://www.securitymagazine.com/articles/96135-blackmatters-ransomware-attack-on-new-cooperative-may-impact-food-supply-chain

https://www.ikarussecurity.com/security-news/verhaltensanalysen-anomalieerkennung-und-sichtbarkeit-zusatzschutz-vor-ransomware/