网络安全公司Emsisoft发现BlackMatter勒索软件中的一个加密漏洞,使他们能够帮助受害者恢复他们锁定的文件。根据博客文章,Emsisoft的研究人员最近发现了BlackMatter勒索软件中的一个漏洞,该漏洞使他们能够帮助受害者在不支付赎金的情况下恢复锁定的文件。Emsisoft声称此举已防止数百万美元落入网络犯罪分子之手。据悉,BlackMatter的前身是DarkSide,自2020年8月以来一直存在,其攻击目标是能够满足集团需求的大型私营部门组织。在美国最大的输油管道CplonialPipeline遇袭导致美国东南部地区出现燃料短缺后,DarkSide面临国际执法机构和美国政府的严厉打击。5月,DarkSide服务器被关闭,加密货币被不明第三方获取。当人们以为DarkSide勒索病毒已经退出舞台时,2021年7月,身穿“马甲”的BlackMatter强势上线。BlackMatter出现后不久,研究人员就掌握了它的勒索软件代码。据研究人员称,关于BlackMatter可能是DarkSide继任者的传言很快得到证实,因为第一个BlackMatter版本与最后一个DarkSide版本几乎相同,唯一的区别是细微的增量改进。对于最初的DarkSide勒索软件,研究人员已经发现了其运营商制造的一个漏洞,该漏洞允许他们在不支付赎金的情况下解密由Windows版勒索软件加密的数据,尽管该团伙早在2021年就这样做了。该漏洞修复于1月12日,当时研究人员并没有选择直接公开漏洞,以免引起其他人的警觉。相反,他们向执法机构和信任方报告了该漏洞,以便尽快开发解密程序来帮助受害者解密数据。对研究人员来说幸运的是,BlackMatter团伙对他们的勒索软件负载进行了更改,使他们能够在不支付赎金的情况下再次恢复受害者的数据。Emsisoft表示,“我们一发现该组织的错误,就悄悄联系了我们的合作伙伴,他们会帮助我们在受害者支付BlackMatter赎金之前接触到尽可能多的受害者。研究人员表示,他们面临的最大运营挑战之一与社交媒体有关,尤其是Twitter。在2021年9月的一次备受瞩目的BlackMatter勒索中,勒索赎金票据被泄露。Emsisoft首席技术官FabianWosar说:“包括BlackMatter在内的赎金通知包含对受害者极其重要的信息,包括有关如何与威胁行为者联系和沟通的说明。因此,任何有权访问通知的人都可以与冒充受害者的勒索团伙进行互动.这意味着Twitter信息安全社区介入并开始劫持受害者和罪犯之间的谈判。这破坏了执法和安全研究人员在此过程中收集任何类型的情报。Wosar补充说,软件之战已经进行了十多年,因此我们比任何人都更了解信息安全社区对勒索软件威胁行为者的挫败感。在那之后,BlackMatter封锁了他们的平台并阻止了我们接触受害者,导致许多不会支付赎金的受害者失踪。当它恢复运营时,BlackMatter修复了允许解密受害者数据的漏洞。关闭此特定漏洞利用并不意味着我们的工作已经完成,虽然我们相信我们已经设法接触到许多BlackMatter受害者,但仍有一些受害者我们无法接触到。“
