网络安全公司Emsisoft在BlackMatter在勒索软件中发现了一个加密漏洞,帮助受害者恢复锁定文件。
根据一篇博客文章,最近,Emsisoft该公司的研究人员发现了它BlackMatter勒索软件中的一个漏洞可以帮助受害者在不支付赎金的情况下恢复锁定的文件。Emsisoft该公司声称,此举已防止数百万美元落入网络犯罪分子手中。
据悉,BlackMatter自2020年8月以来,前身一直存在DarkSide,其攻击目标是能够满足该团伙需求的大型私营部门组织。美国最大的燃料管道Cplonial Pipeline在攻击并导致美国东南部燃料短缺后,DarkSide5月,国际执法部门和美国政府面临严厉打击,DarkSide服务器关闭,未知的第三方也获得了加密货币。
当人们以为DarkSide2021年7月,勒索软件退出舞台时,披着“马甲”的BlackMatter强势上线。BlackMatter研究人员在出现后不久就掌握了其勒索软件代码。据研究人员介绍,相关人员表示,“BlackMatter可能是DarkSide继任者”因为第一个谣言很快就被证实了BlackMatter版本和最后一个DarkSide版本几乎相同,唯一的区别是细微的增量改进。
对于最初的DarkSide勒索软件,研究人员已经发现了其运营商犯下的一个错误,该错误允许他们在无需支付赎金的情况下解密由Windows勒索软件加密版本的数据,但该团伙早在2021年1月12日就修复了这个漏洞。
当时,研究人员没有选择直接披露漏洞,而是向执法部门和信任方报告了漏洞,以便尽快开发解密程序,帮助受害者解密数据。
幸运的是,对于研究人员来说,幸运的是,BlackMatter该团伙在不支付赎金的情况下,更改了其勒索软件的负载,使其能够再次恢复受害者的数据。
Emsisoft表示,“当我们第一次发现该团伙的错误时,我们悄悄地联系了我们的合作伙伴,他们将向受害者支付费用BlackMatter在赎金之前,帮助我们尽可能多地接触受害者。”
研究人员表示,他们在运营过程中面临的最大挑战之一与社交媒体有关,特别是Twitter。2021年9月发生的一起备受关注BlackMatter赎金通知在勒索事件中被泄露。
Emsisoft首席技术官Fabian Wosar表示,“赎金通知(包括BlackMatter包括对受害者极其重要的信息,包括如何联系和与威胁行为者沟通的说明。因此,任何有权访问通知的人都可以冒充受害者与勒索团伙互动。”
这就意味着Twitter信息安全社区介入并开始劫持受害者和罪犯之间的谈判。这破坏了执法部门和安全研究人员在此过程中收集任何类型的情报。
Wosar补充道,“我们与勒索软件战斗了十多年,所以我们比任何人都更了解信息安全社区对勒索软件威胁行为者的挫败感。BlackMatter他们的平台被封锁,我们与受害者们与受害者接触的方式,导致我们错过了许多不需要支付赎金的受害者。当恢复运行时,BlackMatter允许解密受害者数据的漏洞已经修复。然而,这个特定漏洞的结束并不意味着我们的工作已经完成,尽管我们相信我们已经试图接触到很多BlackMatter受害者,但仍有一些受害者我们无法联系。”