勒索软件也有漏洞 因漏洞失去数百万赎金收入

安全
网络安全研究人员发现了勒索软件中的漏洞,不用向网络犯罪团伙支付赎金就可以恢复遭加密的文件,打破重大勒索软件攻击行动攫取数百万美元赎金的期望。

[[432362]]

网络安全研究人员发现了勒索软件中的漏洞,不用向网络犯罪团伙支付赎金就可以恢复遭加密的文件,打破重大勒索软件攻击行动攫取数百万美元赎金的期望。

Emsisoft的网络安全研究人员详细描述了他们挫败BlackMatter勒索软件,为数家受害公司省下赎金支出的全过程。

此前,研究人员一直低调处理以免网络犯罪团伙察觉;如今,他们发布文章揭示自己是怎么通过向受害者提供解密密钥来挫败BlackMatter的。

自今年7月以来,BlackMatter就一直以当前样态频频出击,但实际上,这款勒索软件存在的时间远早于此。因为信息安全分析师已达成共识:BlackMatter就是DarkSide勒索软件的改名版,不过是新瓶装旧酒。

由于是Colonial Pipeline勒索软件攻击背后的罪魁祸首,DarkSide在今年早些时候臭名昭著。这起事件导致美国东北部沿海地区天然气和燃料短缺,而其背后的网络犯罪团伙却卷走了Colonial数百万美元赎金。

不过,这起攻击事件留下了不容忽视的影响,并且就在白宫誓言要打击其背后的责任人后不久,DarkSide便失去了对其部分关键基础设施的控制,他们的一些比特币钱包也被抄没了。此后,该团伙似乎销声匿迹了。

然而,DarkSide不久便以BlackMatter之名重出江湖,其背后的网络犯罪团伙似乎并没有因为被美国政府盯上就有所收敛。他们已经对北美的企业发起了一系列勒索软件攻击。

在地下论坛上,BlackMatter发布帖子提供购买美国、加拿大、英国和澳大利亚受感染网络的访问权限,并声称不会攻击医院或国家机构。但真实情况并非如此,除了几家农业公司的关键基础设施遭攻击,该团伙还袭击了血液检测机构。

Emsisoft威胁分析师Brett Callow向媒体透露:“该团伙声称没有攻击关键基础设施和某些其他部门,但正是这些他们声称不会攻击的组织和机构遭到了袭击。”

“那他们一开始号称不会攻击这些行业是为什么呢?或许是试图在Colonial Pipeline事件余波未平时避免马上引起执法机构的注意,又或者,他们觉得只要自己看上去不像袭击医院的暴徒,受害公司就更倾向于协商赎金。”

去年12月,Emsisoft研究人员注意到DarkSide运营商犯了一个错误,由于这个漏洞,该勒索软件Windows版所加密的数据可以在无需支付赎金的情况下解密——尽管这个漏洞在1月份就被修复了。

然而,事实证明,这个勒索软件团伙在换个名字重出江湖时再次犯了类似的错误,研究人员发现了BlackMatter勒索软件有效载荷中存在缺陷,利用这个缺陷,受害者可以在不支付赎金的情况下恢复文件。

发现这第二个漏洞后,Emsisoft与其他人合作,尽量在BlackMatter受害者支付赎金之前为其提供解密密钥。此举阻止了网络犯罪团伙将成百上千万美元收入囊中。

但遗憾的是,BlackMatter最终还是发现了问题,并堵上了这个漏洞。

“当收入开始下降时,BlackMatter背后的团伙可能就怀疑有什么不对劲了,并且随着时间的推移,情况会变得更加可疑。不幸的是,在这种情况下,网络犯罪团伙难免会发觉自己遇到了问题。我们所能做的只有快速行动,在机会窗口仍然存在的时候悄悄帮助尽可能多的受害者。”

“这一工作展现了公营-私营部门合作的重要性。通过合作,我们可以大大降低网络犯罪的盈利能力,这是应对勒索软件问题的关键因素。”

勒索软件仍然是一个重大信息安全问题,避免不得不响应攻击的最佳方法,是一开始就不成为受害者。及时应用安全补丁、确保在整个网络中应用多因素身份验证,以及仅为用户提供所需最小访问权限(例如非必要不授予管理员权限)等网络安全策略,都可以帮助防止勒索软件攻击。

至于BlackMatter,这伙网络罪犯很可能会继续作恶,但他们的失误可能已经损害了其在网络犯罪圈中的声誉。

“如果他们抛弃BlackMatter的名号换个名字再来,我一点都不会感到惊讶。他们的名声会臭掉。同样的错误一犯再犯让下游黑客损失了金钱。大量金钱。”

Emsisoft破解BlackMatter全过程:https://blog.emsisoft.com/en/39181/on-the-matter-of-blackmatter/

 

责任编辑:赵宁宁 来源: 数世咨询
相关推荐

2021-09-05 05:59:00

BrakTooth漏洞蓝牙设备

2022-01-12 12:33:15

漏洞网络安全网络攻击

2021-09-17 11:03:25

HP OMEN漏洞攻击

2023-07-24 16:29:17

2024-09-30 13:31:57

2022-05-05 14:01:02

DNS高危漏洞uClibc

2021-05-18 07:13:18

WiFi漏洞攻击

2021-08-10 08:22:21

漏洞网络安全网络攻击

2020-12-11 05:51:58

漏洞网络攻击网络安全

2021-04-14 10:53:33

DNS漏洞物联网设备

2022-05-18 14:17:00

黑客漏洞网络攻击

2010-01-23 21:25:34

2022-01-13 21:34:39

路由器漏洞网络攻击

2018-08-13 20:58:52

2021-12-09 18:59:53

提权漏洞漏洞攻击

2022-04-20 12:07:12

漏洞网络攻击网络安全

2021-05-08 10:07:29

驱动漏洞Dell计算机

2021-12-10 11:47:47

WiFi漏洞路由器

2022-03-24 09:59:32

漏洞黑客网络攻击

2017-01-15 21:01:25

点赞
收藏

51CTO技术栈公众号