网络安全研究人员发现勒索软件中的漏洞可以在不向网络犯罪团伙支付赎金的情况下恢复加密文件,扰乱了主要勒索软件攻击获得百万美元赎金的预期。Emsisoft网络安全研究人员详细介绍了他们如何挫败BlackMatter勒索软件,使多家受害公司免于支付赎金。此前,研究人员一直低调避免被网络犯罪团伙发现;现在他们发表文章揭示他们如何通过向受害者提供解密密钥来挫败BlackMatter。BlackMatter从今年7月开始就以目前的形式进行攻击,但实际上,这款勒索软件的存在时间远早于此。因为信息安全分析师已经达成共识:BlackMatter是DarkSide勒索软件的更名版本,但是新瓶装旧酒。今年早些时候,DarkSide因成为ColonialPipeline勒索软件攻击背后的罪魁祸首而声名狼藉。导致美国东北部沿海天然气和燃料短缺的事件背后的网络犯罪团伙从Colonial勒索了数百万美元的赎金。然而,这次袭击留下了不可忽视的遗产,在白宫发誓要打击肇事者后不久,DarkSide失去了对其一些关键基础设施的控制,他们的一些比特币钱包遭到黑客攻击。复制它。之后该团伙似乎消失了。不过很快DarkSide就以BlackMatter的名义卷土重来,其背后的网络犯罪团伙似乎并没有收敛,因为被美国政府盯上了。他们对北美的企业发起了一系列勒索软件攻击。在地下论坛上,BlackMatter发帖表示愿意购买美国、加拿大、英国和澳大利亚受感染网络的访问权限,并声称不会攻击医院或国家机构。但这种情况并非如此。除了袭击几家农业公司的关键基础设施外,该团伙还袭击了血液检测设施。Emsisoft威胁分析师BrettCallow向媒体透露:“该组织声称他们没有攻击关键基础设施和某些其他部门,但他们说不会攻击的这些组织和机构却遭到了攻击。”他们为什么要攻击这些行业?也许他们是为了避免在ColonialPipeline事件发生后立即引起执法部门的注意,或者他们觉得只要看起来不像袭击医院的暴徒,受害公司就会更倾向于谈判赎金。去年12月,Emsisoft研究人员注意到DarkSide运营商犯了一个错误,由于该错误,Windows版勒索软件加密的数据可以在不支付赎金的情况下解密——尽管该漏洞在1月份被阻止了。固定的。然而,事实证明,当勒索软件团伙以不同的名字重新出现时,它又犯了类似的错误,研究人员发现BlackMatter勒索软件有效载荷中存在一个缺陷,该缺陷允许受害者在不支付赎金的情况下省钱。在发现第二个漏洞后,Emsisoft与其他人合作,试图在BlackMatter受害者支付赎金之前向他们提供解密密钥。这阻止了网络犯罪团伙从中牟取数百万美元。但不幸的是,BlackMatter最终发现了问题并堵塞了漏洞。“当收入开始下降时,BlackMatter背后的团伙可能会怀疑事情不对劲,随着时间的推移,情况会变得更加可疑。”不幸的是,网络犯罪团伙不可避免地会发现自己处于这样的境地。我们所能做的就是在机会之窗仍然存在的时候迅速行动,悄悄地帮助尽可能多的受害者。“这项工作证明了公私合作伙伴关系的重要性。共同努力,我们可以显着降低网络犯罪的盈利能力,这是解决勒索软件问题的关键因素。“勒索软件仍然是一个主要的信息安全问题,也是避免不得不做出回应的最佳方式攻击首先是不要成为受害者。及时应用安全补丁,确保在整个网络中应用多因素身份验证,以及提供最低所需访问权限(例如授予不必要的管理员权限)等网络安全策略可以帮助防止勒索软件攻击。至于BlackMatter,网络犯罪团伙很可能会继续作恶,但他们的错误可能会损害其在网络犯罪圈子中的声誉。“如果他们放弃BlackMatter名称并开始使用其他名称,我不会感到惊讶。他们的声誉会变臭.重复同样的错误让下游黑客付出了金钱。很多钱。”Emsisoft破解了BlackMatter的全过程:https://blog.emsisoft.com/en/39181/on-the-matter-of-blackmatter/
