Сегодня преступная группа BlackMatter объявила о закрытии своей партнерской программы из-за "давления со стороны властей". Однако, это не значит, что операторы BlackMatter и их партнеры прекратят атаки. Скорее всего, они присоединятся к другим программам RaaS или, как это случалось ранее, после ребрендинга вновь возьмутся за старое.

Помните, как в августе, в нашей первой статье о BlackMatter мы говорили о том, что новый вымогатель появился сразу после исчезновения из публичного поля двух самых активных и агрессивных преступных группировок – DarkSide и REvil, атаковавших такие крупные компании, как Toshiba, JBS S.A., Colonial Pipeline и Kaseya. Но, если летом у исследователей еще были вопросы, кто стоит за новой программой-вымогателем, то сейчас ни у кого не осталось сомнений, что BlackMatter является продолжателем дела DarkSide, и если новичок еще не затмил своего прародителя, то это лишь вопрос времени.

Напомним, что одной из первых жертв BlackMatter в конце июля 2021 года стало американское архитектурное бюро. С того момента аппетиты вымогателей значительно выросли, атаки участились, инструментарий, используемый злоумышленниками, постоянно совершенствуется. Сейчас в списке жертв BlackMatter более полусотни компаний из США, Австрии, Италии, Франции, Японии, средняя сумма выкупа составляет $5,3 млн, а максимальная — $30 млн, которую атакующие потребовали от японской корпорации Olympus.

Партнеры BlackMatter пытаются тщательно подбирать своих жертв, чтобы не вызывать лишнего шума, однако это не получается. С момента первых атак BlackMatter к ним и так приковано пристальное внимание со стороны исследователей. А 18 октября 2021 года CISA, ФБР и АНБ США выпустили совместные рекомендации, в которых заявили об атаках с июля 2021 года программ-вымогателей BlackMatter на объекты критически важной инфраструктуры США.

Поскольку специалисты Лаборатории компьютерной криминалистики Group-IB отслеживают появление новых образцов BlackMatter для Windows и Linux., Андрей Жданов, специалист по проактивному поиску киберугроз Group-IB, поделился новой информацией о результатах исследования. Когда BlackMatter вернутся в новом обличье, мы будем уже готовы.

BlackMatter для Windows

В зависимости от параметров командной строки программа-вымогатель для Windows может функционировать в 5 режимах. Нами были подобраны по хешам ключи командной строки.

-path <PATH> – шифрование указанного объекта (каталога, файла, сетевого ресурса);

-safe – регистрация себя в ключе автозапуска системного реестра RunOnce, перезагрузка в безопасном режиме для шифрования файлов в безопасном режиме;

-wall – создание изображения BMP с текстом о шифровании файлов и установка его в качестве обоев рабочего стола.

<PATH> – шифрование указанного каталога/файла.

При иных параметрах или их отсутствии осуществляется полное шифрование системы в соответствии с настройками в конфигурации. По завершении шифрования программа создает изображение BMP с текстом о шифровании файлов, которое устанавливает в качестве обоев рабочего стола. А начиная с версии 1.4, вымогатель может также выводить на принтер по умолчанию текст с требованием о выкупе.

При запуске BlackMatter проверяет права текущего пользователя, и в случае необходимости пытается обойти контроль учетных записей UAC (User Account Control) путем повышения привилегий с помощью COM-интерфейса ICMLuaUtil. Также, если установлен соответствующий флаг в конфигурации, осуществляет попытки аутентификации с использованием учетных записей, содержащихся в конфигурационных данных.

Перед шифрованием BlackMatter удаляет теневые копии разделов с использованием запросов WQL (WMI Query Language).

Для шифрования файлов в BlackMatter используется наиболее производительная реализация многопоточности на основе использования I/O (input/output) completion port. Для потоков перечисления и шифрования файлов программой устанавливается также наибольший приоритет (THREAD_PRIORITY_HIGHEST). Шифрование содержимого файлов по умолчанию осуществляется в пределах только первого мегабайта. В ранних версиях шифрование данных осуществлялось с использованием алгоритма потокового шифрования Salsa20. Судя по всему, авторы BlackMatter так же, как авторы другого вымогателя Petya 5 лет назад, допустили ошибки в реализации алгоритма Salsa20. Начиная же с версии 1.9, содержимое файлов шифруется уже с использованием модифицированной версии реализации алгоритма ChaCha20, предположительно взятой из криптобиблиотеки CryptoPP. Причем алгоритм шифрования ChaCha20 реализован с использованием инструкций процессора SSSE3. Шифрование ключей ChaCha20 осуществляется с использованием открытого ключа RSA-1024. Блок данных с зашифрованным ключом шифрования дописывается к концу файла. Имена зашифрованных файлов имеют следующий вид:

<FILENAME>. <VICTIM_ID>

FILENAME – оригинальное имя файла;

VICTIM_ID – идентификатор жертвы, формируемый на основе строки, содержащейся в параметре MachineGuid раздела реестра HKLM\SOFTWARE\Microsoft\Cryptography.

В конфигурации BlackMatter содержатся в виде списков контрольных сумм (хешей) пропускаемые в процессе шифрования имена каталогов, файлов и расширений.

В каждом обработанном каталоге вымогатель создает текстовые файлы, содержащие требование о выкупе:

< VICTIM_ID>.README.txt

Конфигурация

Конфигурационные данные BlackMatter v2.0 для Windows содержатся в секции, замаскированной под секцию ресурсов ".rsrс", при этом ресурсы в программе как таковые отсутствуют. 

Первое 64-битное число (0F8B2AB512017D0F5h) в секции представляет начальное значение для генератора псевдослучайной последовательности (random seed), используемого для шифрования данных программы. Следующее 32-битное значение представляет собственно размер конфигурационных данных, содержащихся далее за ним. До шифрования конфигурационные данные были предварительно сжаты с использованием популярного у авторов шифровальщиков алгоритма сжатия aPLib. Ранее этот алгоритм встречался, к примеру, в таких семействах программ-вымогателей DarkSide, DoppelPaymer, Clop и других.

Конфигурационные данные после расшифровки и распаковки.

Логические флаги, определяющие настройки программы-вымогателя:

Таблица смещений значений параметров конфигурации

Таблица содержит 32-битные числа, представляющие собой смещения относительно начала самого списка на остальные поля конфигурационных данных в виде строк Base64, заканчивающихся нулевым байтом. Если смещение равно 0, значение поля отсутствует.

Известные версии

BlackMatter для Linux

Целью программ-вымогателей BlackMatter для Linux являются серверы VMware ESXi. В соответствии с настройками в конфигурационных данных программы-вымогатели перед шифрованием файлов могут останавливать виртуальные машины, завершать указанные процессы. Также программы-вымогатели останавливают файрвол. Для шифрования файлов виртуальных машин программа-вымогатель с помощью утилиты esxcli получает список хранилищ с файловыми системами "vmfs", "vffs" и "nfs".

BlackMatter для Linux осуществляет многопоточное шифрование файлов с расширениями, указанными в конфигурации. Шифрование данных осуществляется блоками, кратными одному мегабайту, с использованием алгоритма потокового шифрования HC-256. Шифрование ключей HC-256 осуществляется с использованием открытого ключа RSA-4096. Для реализации алгоритмов шифрования использована криптобиблиотека CryptoPP.

Передача информации на ресурсы злоумышленников в сети интернет реализована в программе с помощью библиотеки libcurl.

Конфигурация

Конфигурационные данные BlackMatter для Linux содержатся в секции ".cfgETD" ELF-файла. Данные зашифрованы, сжаты с использованием библиотеки сжатия данных zlib и закодированы с использованием Base64.

Зашифрованные конфигурационные данные после декодирования Base64 и распаковки zlib:

Шифрование конфигурационных данных осуществляется с помощью циклической операции побайтного XOR с использованием ключа, содержащегося в первых 32 байтах.

После расшифровки конфигурационные данные имеют формат JSON.

Параметры конфигурации

Известные версии

Жертвы и злоумышленники

Для идентификации своих жертв BlackMatter использует уникальный 16-байтный идентификатор, содержащийся в конфигурационных данных: company_id (Windows-версия) и bot-id (Linux-версия). Для каждой жертвы атакующие создают в сети Tor чат для взаимодействия, ссылка на который указывается в текстовом файле с требованием о вымогательстве.

По истечении срока ультиматума злоумышленники удваивают сумму выкупа, а впоследствии после отказа жертвы публикуют похищенные документы.

Первоначально эти чаты были публичными, и многие могли наблюдать за перепиской "техподдержки" BlackMatter со своими жертвами и даже пытались состязаться с ними в остроумии.

С 23 сентября 2021 года партнеры BlackMatter закрыли публичный доступ к чатам, теперь для входа требуется сессионный ключ, для получения которого необходимо пройти верификацию компании и подтвердить свою принадлежность к жертве.

Виктимология

Идентификаторы company_id и ссылки Tor, извлеченные из программ-вымогателей и текстовых файлов с требованием о вымогательстве.

Как уже было сказано, партнеры BlackMatter пытаются не привлекать внимание к своей деятельности, поэтому для целей своих атак злоумышленники выбирает средний и малый бизнес. Однако атаки на Olympus и NEW cooperative вызвали широкий общественный резонанс.

Индикаторы компрометации

YARA rules

/*
BlackMatter ransomware
*/

import "elf"

rule DarkSide_BM
{
    meta:
        author = "Andrey Zhdanov"
        company = "Group-IB"
        family = "ransomware.darkside_blackmatter"
        description = "DarkSide/BlackMatter ransomware Windows payload"
        severity = 10
        score = 100

    strings:
        $h2 = { 64 A1 30 00 00 00 8B B0 A4 00 00 00 8B B8 A8 00
                00 00 83 FE 05 75 05 83 FF 01 }

    condition:
        ((uint16(0) == 0x5A4D) and (uint32(uint32(0x3C)) == 0x00004550)) and
        (
            (1 of ($h*))
        )
}

rule BlackMatter
{
    meta:
        author = "Andrey Zhdanov"
        company = "Group-IB"
        family = "ransomware.blackmatter.windows"
        description = "BlackMatter ransomware Windows payload"
        severity = 10
        score = 100

    strings:
        $h0 = { 80 C6 61 80 EE 61 C1 CA 0D 03 D0 }
        $h1 = { 02 F1 2A F1 B9 0D 00 00 00 D3 CA 03 D0 }
        $h2 = { 3C 2B 75 04 B0 78 EB 0E 3C 2F 75 04 B0 69 EB 06
                3C 3D 75 02 B0 7A }
        $h3 = { 33 C0 40 40 8D 0C C5 01 00 00 00 83 7D 0? 00 75
                04 F7 D8 EB 0? }

    condition:
        ((uint16(0) == 0x5A4D) and (uint32(uint32(0x3C)) == 0x00004550)) and
        (
            (1 of ($h*))
        )
}

rule BlackMatter_Linux
{
    meta:
        author = "Andrey Zhdanov"
        company = "Group-IB"
        family = "ransomware.blackmatter.linux"
        description = "BlackMatter ransomware Linux payload"
        severity = 10
        score = 100

    strings:
        $h0 = { 0F B6 10 84 D2 74 19 0F B6 34 0F 40 38 F2 74 10
                48 83 C1 01 31 F2 48 83 F9 20 88 10 49 0F 44 C9
                48 83 C0 01 4C 39 C0 75 D7 }
        $h1 = { 44 42 46 44 C7 4? [1-2] 30 35 35 43 C7 4? [1-2]
                2D 39 43 46 C7 4? [1-2] 32 2D 34 42 C7 4? [1-2]
                42 38 2D 39 C7 4? [1-2] 30 38 45 2D C7 4? [1-2]
                36 44 41 32 C7 4? [1-2] 32 33 32 31 C7 4? [1-2]
                42 46 31 37 }

    condition:
        (uint32(0) == 0x464C457F) and
        (
            (1 of ($h*)) or
            for any i in (0..elf.number_of_sections-2):
            (
                (elf.sections[i].name == ".app.version") and
                (elf.sections[i+1].name == ".cfgETD")
            )
        )
}