[[432035]]

網(wǎng)絡(luò)安全公司Emsisoft在BlackMatter勒索軟件中發(fā)現(xiàn)了一個(gè)加密漏洞，使他們能夠幫助受害者恢復(fù)其鎖定文件。

據(jù)一篇博客文章介紹，近日，Emsisoft公司的研究人員發(fā)現(xiàn)了BlackMatter勒索軟件中的一個(gè)漏洞，使他們能夠幫助受害者在不支付贖金的情況下恢復(fù)其鎖定的文件。Emsisoft公司聲稱，此舉已防止數(shù)百萬美元落入網(wǎng)絡(luò)犯罪分子手中。

據(jù)悉，BlackMatter的前身是自2020年8月以來便一直存在的DarkSide，其攻擊目標(biāo)是能夠滿足該團(tuán)伙需求的大型私營(yíng)部門組織。在對(duì)美國(guó)最大的燃料管道Cplonial Pipeline進(jìn)行攻擊并導(dǎo)致美國(guó)東南部燃料短缺后，DarkSide便面臨國(guó)際執(zhí)法部門和美國(guó)政府的嚴(yán)厲打擊，5月份，DarkSide服務(wù)器關(guān)閉，加密貨幣也被未知的第三方獲取。

當(dāng)人們以為DarkSide勒索軟件就此退出舞臺(tái)時(shí)，2021年7月，披著“馬甲”的BlackMatter強(qiáng)勢(shì)上線。BlackMatter出現(xiàn)后不久，研究人員就掌握了它的勒索軟件代碼。據(jù)研究人員稱，有關(guān)“BlackMatter可能是DarkSide繼任者”的傳言很快便得到了證實(shí)，因?yàn)槭讉€(gè)BlackMatter版本與最后一個(gè)DarkSide版本幾乎相同，唯一的區(qū)別是細(xì)微的增量改進(jìn)。

對(duì)于最初的DarkSide勒索軟件，研究人員已經(jīng)發(fā)現(xiàn)了其運(yùn)營(yíng)商犯下的一個(gè)錯(cuò)誤，該錯(cuò)誤允許他們?cè)跓o需支付贖金的情況下解密由Windows版本的勒索軟件加密的數(shù)據(jù)，不過該團(tuán)伙早在2021年1月12日便修復(fù)了這一漏洞。

當(dāng)時(shí)，為防打草驚蛇，研究人員并未選擇直接披露該漏洞，而是將漏洞上報(bào)給了執(zhí)法部門和受信任方，以便早日開發(fā)出解密程序，幫助受害者解密數(shù)據(jù)。

好在對(duì)研究人員來說，幸運(yùn)的是，BlackMatter團(tuán)伙對(duì)其勒索軟件負(fù)載進(jìn)行了更改，這使他們能夠再次恢復(fù)受害者的數(shù)據(jù)，而無需支付贖金。

Emsisoft表示，“我們?cè)诎l(fā)現(xiàn)該團(tuán)伙錯(cuò)誤的第一時(shí)間，便悄悄聯(lián)系了我們的合作伙伴，他們會(huì)在受害者支付BlackMatter贖金之前幫助我們接觸到盡可能多的受害者。”

研究人員表示，他們?cè)诓僮鬟^程中面臨的最大挑戰(zhàn)之一就與社交媒體有關(guān)，尤其是Twitter。在2021年9月發(fā)生的一起備受矚目的BlackMatter勒索事件中，贖金通知被泄露了出去。

Emsisoft首席技術(shù)官Fabian Wosar表示，“贖金通知(包括BlackMatter的在內(nèi))中包含對(duì)受害者極為重要的信息，包括有關(guān)如何與威脅行為者聯(lián)系和溝通的說明。因此，任何有權(quán)訪問通知的人都可以冒充受害者與勒索團(tuán)伙互動(dòng)。”

這就意味著Twitter信息安全社區(qū)介入并開始劫持受害者和罪犯之間的談判。這破壞了執(zhí)法部門和安全研究人員在此過程中收集任何類型的情報(bào)。

Wosar補(bǔ)充道，“我們已經(jīng)與勒索軟件戰(zhàn)斗了十多年，所以我們比任何人都更了解信息安全社區(qū)對(duì)勒索軟件威脅行為者的挫敗感。之后，BlackMatter便封鎖了他們的平臺(tái)，也阻斷了我們與受害者接觸的途徑，導(dǎo)致錯(cuò)過了許多本來無需支付贖金的受害者。重新恢復(fù)運(yùn)營(yíng)時(shí)，BlackMatter已經(jīng)修復(fù)了允許解密受害者數(shù)據(jù)的漏洞。不過，這個(gè)特定漏洞的結(jié)束并不意味著我們的工作已經(jīng)完成，雖然我們相信我們已經(jīng)設(shè)法接觸到了許多BlackMatter受害者，但仍有一些我們無法聯(lián)系到的受害者存在。”