网络安全研究人员发现了勒索软件中的漏洞,无需向网络犯罪团伙支付赎金网络犯罪团伙支付赎金,打破了重大勒索软件攻击抢取数百万美元赎金的期望。
Emsisoft网络安全研究人员详细描述了他们的挫折BlackMatter勒索软件为几家受害公司节省了赎金支出的全过程。
此前,研究人员一直保持低调,以避免网络犯罪团伙的发现;现在,他们发表了一篇文章来揭示他们如何通过向受害者提供解密钥来挫败他们BlackMatter的。
自今年7月以来,BlackMatter这种勒索软件一直以现状频繁攻击,但实际上存在的时间远早于此。因为信息安全分析师已经达成共识:BlackMatter就是DarkSide勒索软件的改名版只是新瓶装旧酒。
由于是Colonial Pipeline勒索软件攻击背后的罪魁祸首,DarkSide今年早些时候臭名昭著。这一事件导致东北沿海地区天然气和燃料短缺,但其背后的网络犯罪团伙卷走了Colonial赎金数百万美元。
然而,这次袭击留下了不可忽视的影响,并在白宫誓言要打击其背后的负责人后不久,DarkSide他们失去了对一些关键基础设施的控制,他们的一些比特币钱包也被复制。从那以后,这个团伙似乎消失了。
然而,DarkSide不久便以BlackMatter它背后的网络犯罪团伙似乎并没有因为被美国政府盯上而收敛。他们对北美企业发起了一系列勒索软件攻击。
在地下论坛上,BlackMatter该帖子提供访问美国、加拿大、英国和澳大利亚感染网络的权限,并声称不会攻击医院或国家机构。但事实并非如此。除了几家农业公司的关键基础设施外,该团伙还攻击了血液检测机构。
Emsisoft威胁分析师Brett Callow媒体:“该团伙声称没有攻击关键基础设施和其他部门,但正是这些声称不会攻击的组织和机构受到了攻击。”
“为什么他们一开始声称不会攻击这些行业?也许是在试图Colonial Pipeline余波没有避免立即引起执法机构的注意,或者他们觉得只要他们看起来不像袭击医院的暴徒,受害者就更倾向于谈判赎金。”
去年12月,Emsisoft研究人员注意到了DarkSide由于这个漏洞,运营商犯了一个错误,勒索软件Windows加密的数据可以在不支付赎金的情况下解密——尽管这个漏洞是在1月份修复的。
然而,事实证明,这个勒索软件团伙在改名回到江湖时又犯了类似的错误,研究人员发现了BlackMatter勒索软件在有效载荷下存在缺陷,受害者可以在不支付赎金的情况下恢复文件。
在发现第二个漏洞后,Emsisoft与他人合作,尽BlackMatter受害者支付赎金之前为其提供解密密钥。此举阻止了网络犯罪团伙将成百上千万美元收入囊中。
但遗憾的是,BlackMatter最后发现了问题,堵住了漏洞。
“当收入开始下降时,BlackMatter背后的团伙可能就怀疑有什么不对劲了,并且随着时间的推移,情况会变得更加可疑。不幸的是,在这种情况下,网络犯罪团伙难免会发觉自己遇到了问题。我们所能做的只有快速行动,在机会窗口仍然存在的时候悄悄帮助尽可能多的受害者。”
“这项工作展示了公营-私营部门合作的重要性。通过合作,我们可以大大降低网络犯罪的盈利能力,这是处理勒索软件问题的关键因素。”
勒索软件仍然是一个重大的信息安全问题,避免必须响应攻击的最佳方法是从一开始就不成为受害者。及时应用安全补丁,确保多因素身份验证应用于整个网络,以及网络安全策略,如只为用户提供所需的最小访问权限(如不必要的管理员权限),可以帮助防止勒索软件攻击。
至于BlackMatter,这些网络罪犯很可能会继续作恶,但他们的错误可能会损害他们在网络犯罪圈的声誉。
“假如他们抛弃了BlackMatter我一点也不惊讶。他们的名声会臭。同样的错误会让下游黑客赔钱。很多钱。”
Emsisoft破解BlackMatter全过程:https://blog.emsisoft.com/en/39181/on-the-matter-of-blackmatter/