网络安全研究人员发现了勒索软件中的漏洞,不用向网络犯罪团伙支付赎金就可以恢复遭加密的文件,打破重大勒索软件攻击行动攫取数百万美元赎金的期望。
Emsisoft的网络安全研究人员详细描述了他们挫败BlackMatter勒索软件,为数家受害公司省下赎金支出的全过程。
此前,研究人员一直低调处理以免网络犯罪团伙察觉;如今,他们发布文章揭示自己是怎么通过向受害者提供解密密钥来挫败BlackMatter的。
自今年7月以来,BlackMatter就一直以当前样态频频出击,但实际上,这款勒索软件存在的时间远早于此。因为信息安全分析师已达成共识:BlackMatter就是DarkSide勒索软件的改名版,不过是新瓶装旧酒。
由于是Colonial Pipeline勒索软件攻击背后的罪魁祸首,DarkSide在今年早些时候臭名昭著。这起事件导致美国东北部沿海地区天然气和燃料短缺,而其背后的网络犯罪团伙却卷走了Colonial数百万美元赎金。
不过,这起攻击事件留下了不容忽视的影响,并且就在白宫誓言要打击其背后的责任人后不久,DarkSide便失去了对其部分关键基础设施的控制,他们的一些比特币钱包也被抄没了。此后,该团伙似乎销声匿迹了。
然而,DarkSide不久便以BlackMatter之名重出江湖,其背后的网络犯罪团伙似乎并没有因为被美国政府盯上就有所收敛。他们已经对北美的企业发起了一系列勒索软件攻击。
在地下论坛上,BlackMatter发布帖子提供购买美国、加拿大、英国和澳大利亚受感染网络的访问权限,并声称不会攻击医院或国家机构。但真实情况并非如此,除了几家农业公司的关键基础设施遭攻击,该团伙还袭击了血液检测机构。
Emsisoft威胁分析师Brett Callow向媒体透露:“该团伙声称没有攻击关键基础设施和某些其他部门,但正是这些他们声称不会攻击的组织和机构遭到了袭击。”
“那他们一开始号称不会攻击这些行业是为什么呢?或许是试图在Colonial Pipeline事件余波未平时避免马上引起执法机构的注意,又或者,他们觉得只要自己看上去不像袭击医院的暴徒,受害公司就更倾向于协商赎金。”
去年12月,Emsisoft研究人员注意到DarkSide运营商犯了一个错误,由于这个漏洞,该勒索软件Windows版所加密的数据可以在无需支付赎金的情况下解密——尽管这个漏洞在1月份就被修复了。
然而,事实证明,这个勒索软件团伙在换个名字重出江湖时再次犯了类似的错误,研究人员发现了BlackMatter勒索软件有效载荷中存在缺陷,利用这个缺陷,受害者可以在不支付赎金的情况下恢复文件。
发现这第二个漏洞后,Emsisoft与其他人合作,尽量在BlackMatter受害者支付赎金之前为其提供解密密钥。此举阻止了网络犯罪团伙将成百上千万美元收入囊中。
但遗憾的是,BlackMatter最终还是发现了问题,并堵上了这个漏洞。
“当收入开始下降时,BlackMatter背后的团伙可能就怀疑有什么不对劲了,并且随着时间的推移,情况会变得更加可疑。不幸的是,在这种情况下,网络犯罪团伙难免会发觉自己遇到了问题。我们所能做的只有快速行动,在机会窗口仍然存在的时候悄悄帮助尽可能多的受害者。”
“这一工作展现了公营-私营部门合作的重要性。通过合作,我们可以大大降低网络犯罪的盈利能力,这是应对勒索软件问题的关键因素。”
勒索软件仍然是一个重大信息安全问题,避免不得不响应攻击的最佳方法,是一开始就不成为受害者。及时应用安全补丁、确保在整个网络中应用多因素身份验证,以及仅为用户提供所需最小访问权限(例如非必要不授予管理员权限)等网络安全策略,都可以帮助防止勒索软件攻击。
至于BlackMatter,这伙网络罪犯很可能会继续作恶,但他们的失误可能已经损害了其在网络犯罪圈中的声誉。
“如果他们抛弃BlackMatter的名号换个名字再来,我一点都不会感到惊讶。他们的名声会臭掉。同样的错误一犯再犯让下游黑客损失了金钱。大量金钱。”
Emsisoft破解BlackMatter全过程:https://blog.emsisoft.com/en/39181/on-the-matter-of-blackmatter/