BlackMatter勒索軟件受害者正使用秘密解密器取回數(shù)據(jù)

責(zé)任編輯:cres

作者:Rene Millman

2021-10-29 13:19:50

來源:企業(yè)網(wǎng)D1Net

原創(chuàng)

據(jù)一篇博客文章介紹,近日,Emsisoft公司的研究人員發(fā)現(xiàn)了BlackMatter勒索軟件中的一個漏洞,使他們能夠幫助受害者在不支付贖金的情況下恢復(fù)其鎖定的文件。Emsisoft公司聲稱,此舉已防止數(shù)百萬美元落入網(wǎng)絡(luò)犯罪分子手中。

網(wǎng)絡(luò)安全公司Emsisoft在BlackMatter勒索軟件中發(fā)現(xiàn)了一個加密漏洞,使他們能夠幫助受害者恢復(fù)其鎖定文件。
 
據(jù)一篇博客文章介紹,近日,Emsisoft公司的研究人員發(fā)現(xiàn)了BlackMatter勒索軟件中的一個漏洞,使他們能夠幫助受害者在不支付贖金的情況下恢復(fù)其鎖定的文件。Emsisoft公司聲稱,此舉已防止數(shù)百萬美元落入網(wǎng)絡(luò)犯罪分子手中。
 
據(jù)悉,BlackMatter的前身是自2020年8月以來便一直存在的DarkSide,其攻擊目標(biāo)是能夠滿足該團伙需求的大型私營部門組織。在對美國最大的燃料管道Cplonial Pipeline進行攻擊并導(dǎo)致美國東南部燃料短缺后,DarkSide便面臨國際執(zhí)法部門和美國政府的嚴(yán)厲打擊,5月份,DarkSide服務(wù)器關(guān)閉,加密貨幣也被未知的第三方獲取。
 
當(dāng)人們以為DarkSide勒索軟件就此退出舞臺時,2021年7月,披著“馬甲”的BlackMatter強勢上線。BlackMatter出現(xiàn)后不久,研究人員就掌握了它的勒索軟件代碼。據(jù)研究人員稱,有關(guān)“BlackMatter可能是DarkSide繼任者”的傳言很快便得到了證實,因為首個BlackMatter版本與最后一個DarkSide版本幾乎相同,唯一的區(qū)別是細(xì)微的增量改進。
 
對于最初的DarkSide勒索軟件,研究人員已經(jīng)發(fā)現(xiàn)了其運營商犯下的一個錯誤,該錯誤允許他們在無需支付贖金的情況下解密由Windows版本的勒索軟件加密的數(shù)據(jù),不過該團伙早在2021年1月12日便修復(fù)了這一漏洞。
 
當(dāng)時,為防打草驚蛇,研究人員并未選擇直接披露該漏洞,而是將漏洞上報給了執(zhí)法部門和受信任方,以便早日開發(fā)出解密程序,幫助受害者解密數(shù)據(jù)。
 
好在對研究人員來說,幸運的是,BlackMatter團伙對其勒索軟件負(fù)載進行了更改,這使他們能夠再次恢復(fù)受害者的數(shù)據(jù),而無需支付贖金。
 
Emsisoft表示,“我們在發(fā)現(xiàn)該團伙錯誤的第一時間,便悄悄聯(lián)系了我們的合作伙伴,他們會在受害者支付BlackMatter贖金之前幫助我們接觸到盡可能多的受害者。”
 
研究人員表示,他們在操作過程中面臨的最大挑戰(zhàn)之一就與社交媒體有關(guān),尤其是Twitter。在2021年9月發(fā)生的一起備受矚目的BlackMatter勒索事件中,贖金通知被泄露了出去。
 
Emsisoft首席技術(shù)官Fabian Wosar表示,“贖金通知(包括BlackMatter的在內(nèi))中包含對受害者極為重要的信息,包括有關(guān)如何與威脅行為者聯(lián)系和溝通的說明。因此,任何有權(quán)訪問通知的人都可以冒充受害者與勒索團伙互動。”
 
這就意味著Twitter信息安全社區(qū)介入并開始劫持受害者和罪犯之間的談判。這破壞了執(zhí)法部門和安全研究人員在此過程中收集任何類型的情報。
 
Wosar補充道,“我們已經(jīng)與勒索軟件戰(zhàn)斗了十多年,所以我們比任何人都更了解信息安全社區(qū)對勒索軟件威脅行為者的挫敗感。之后,BlackMatter便封鎖了他們的平臺,也阻斷了我們與受害者接觸的途徑,導(dǎo)致錯過了許多本來無需支付贖金的受害者。重新恢復(fù)運營時,BlackMatter已經(jīng)修復(fù)了允許解密受害者數(shù)據(jù)的漏洞。不過,這個特定漏洞的結(jié)束并不意味著我們的工作已經(jīng)完成,雖然我們相信我們已經(jīng)設(shè)法接觸到了許多BlackMatter受害者,但仍有一些我們無法聯(lián)系到的受害者存在。”
 
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號