Manuel Statik Analiz (LLM Okumali) — BlackMatter / Yanlis Etiketli LockBit | Tehdit: YUKSEK

Файл Kimligi

SHA256cd6d48dbb8a4124df11e72d4a975bfacafc55059dd258db5a0f92700cbca1c3b
FormatWindows DLL (PE32)
Размер104.448 byte
String Sayisi579

Etiketleme Sorunu

Onemli: Bu ornek MalwareBazaar veritabaninda lockbit etiketi ile sunulmaktadir. Ancak statik string analizi LockBit ailesine ozgu string imzalarini ortaya cikarmamistir. Файлnin BlackMatter ransomware ailesine ait oldugu degerlendiriliyor. MalwareBazaar'daki yanlıs etiketleme, topluluk kaynakli IOC atamalarında zaman zaman gorulen bir sorundur.

Analiz Bulgulari

  • DLL formatinda — dogrudan calistirilmayan, bir loader tarafindan bellek icine yuklenen modul
  • 579 string — dusuk string sayisi; packer veya sadece sifreleme modulu oldugu izlenimi
  • Cleartext ransom notu, URL veya email IOC bulunamadi — sifrelenmis veya ayri modulde
  • LockBit'e ozgu "LockBit", sertifika bilgisi veya ransom notu paterni tespit edilmedi

BlackMatter Hakkinda

BlackMatter, 2021 yilinda DarkSide ve REvil (Sodinokibi) gruplarinin dagilmasinin ardindan faaliyete gecen RaaS (Ransomware-as-a-Service) ailesidir. Hem Windows hem de Linux VMware ESXi encryptor bilesenlerine sahiptir. ABD kritik altyapisina saldirmasinin ardindan (Colonial Pipeline benzeri hedeflerden kaciniyor demeleri karisik) 2021 sonunda kapanmistir. BlackBasta, BlackMatter'in devami niteligi tasimaktadir.

IOC

SHA256cd6d48dbb8a4124df11e72d4a975bfacafc55059dd258db5a0f92700cbca1c3b
FormatWindows DLL
Gercek СемействоBlackMatter (MB etiketi: LockBit — Yanlis)

BlackMatter — Профиль вредоносного ПО

BlackMatter RaaS 2021. DarkSide devami. Cobalt Strike+run-as-admin. ABD kritik altyapi.

Тип вредоносного ПО
Ransomware
Язык программирования
C
C2 Протокол
Целевые системы
Windows/Linux

Возможности и поведение

Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)

Список IOC (1 индикаторов)

IOC — BlackMatter
# SHA256 cd6d48dbb8a4124df11e72d4a975bfacafc55059dd258db5a0f92700cbca1c3b
ТипЗначениеПримечание
sha256 cd6d48dbb8a4124df11e72d4a975bfacafc55059dd258db5a0f92700cbca1c3b

C2 Серверы (6 зарегистрированных серверов для этого семейства)

Адрес Тип Порт Протокол Статус Страна
mojobiden.com domain — — active —
mojobiden.com domain 443 HTTPS active —
mojobiden.com domain 443 HTTPS active —
paymenthacks.com domain 443 HTTPS inactive —
supp24yy6a66hwszu2piygicgwzdtbwftb76htfj7vnip3getgqnzxid.onion domain 80 HTTPS inactive —
paymenthacks.com domain 443 HTTPS inactive —

Адреса C2 предоставляются только на основе образцов вредоносного ПО, вручную проверенных командой KEYDAL. Коммерческое использование запрещено.

Теги
blackmatterransomwarelockbityanlis-etiketdllanaliz