网络安全公司Emsisoft在BlackMatter勒索软件中发现了一个加密漏洞,使他们能够帮助受害者恢复其锁定文件。
据一篇博客文章介绍,近日,Emsisoft公司的研究人员发现了BlackMatter勒索软件中的一个漏洞,使他们能够帮助受害者在不支付赎金的情况下恢复其锁定的文件。Emsisoft公司声称,此举已防止数百万美元落入网络犯罪分子手中。
据悉,BlackMatter的前身是自2020年8月以来便一直存在的DarkSide,其攻击目标是能够满足该团伙需求的大型私营部门组织。在对美国最大的燃料管道Cplonial Pipeline进行攻击并导致美国东南部燃料短缺后,DarkSide便面临国际执法部门和美国政府的严厉打击,5月份,DarkSide服务器关闭,加密货币也被未知的第三方获取。
当人们以为DarkSide勒索软件就此退出舞台时,2021年7月,披着“马甲”的BlackMatter强势上线。BlackMatter出现后不久,研究人员就掌握了它的勒索软件代码。据研究人员称,有关“BlackMatter可能是DarkSide继任者”的传言很快便得到了证实,因为首个BlackMatter版本与最后一个DarkSide版本几乎相同,唯一的区别是细微的增量改进。
对于最初的DarkSide勒索软件,研究人员已经发现了其运营商犯下的一个错误,该错误允许他们在无需支付赎金的情况下解密由Windows版本的勒索软件加密的数据,不过该团伙早在2021年1月12日便修复了这一漏洞。
当时,为防打草惊蛇,研究人员并未选择直接披露该漏洞,而是将漏洞上报给了执法部门和受信任方,以便早日开发出解密程序,帮助受害者解密数据。
好在对研究人员来说,幸运的是,BlackMatter团伙对其勒索软件负载进行了更改,这使他们能够再次恢复受害者的数据,而无需支付赎金。
Emsisoft表示,“我们在发现该团伙错误的第一时间,便悄悄联系了我们的合作伙伴,他们会在受害者支付BlackMatter赎金之前帮助我们接触到尽可能多的受害者。”
研究人员表示,他们在操作过程中面临的最大挑战之一就与社交媒体有关,尤其是Twitter。在2021年9月发生的一起备受瞩目的BlackMatter勒索事件中,赎金通知被泄露了出去。
Emsisoft首席技术官Fabian Wosar表示,“赎金通知(包括BlackMatter的在内)中包含对受害者极为重要的信息,包括有关如何与威胁行为者联系和沟通的说明。因此,任何有权访问通知的人都可以冒充受害者与勒索团伙互动。”
这就意味着Twitter信息安全社区介入并开始劫持受害者和罪犯之间的谈判。这破坏了执法部门和安全研究人员在此过程中收集任何类型的情报。
Wosar补充道,“我们已经与勒索软件战斗了十多年,所以我们比任何人都更了解信息安全社区对勒索软件威胁行为者的挫败感。之后,BlackMatter便封锁了他们的平台,也阻断了我们与受害者接触的途径,导致错过了许多本来无需支付赎金的受害者。重新恢复运营时,BlackMatter已经修复了允许解密受害者数据的漏洞。不过,这个特定漏洞的结束并不意味着我们的工作已经完成,虽然我们相信我们已经设法接触到了许多BlackMatter受害者,但仍有一些我们无法联系到的受害者存在。”