據一篇博客文章介紹，近日，Emsisoft公司的研究人員發現了BlackMatter勒索軟件中的一個漏洞，使他們能夠幫助受害者在不支付贖金的情況下恢復其鎖定的文件。Emsisoft公司聲稱，此舉已防止數百萬美元落入網絡犯罪分子手中。

 

據悉，BlackMatter的前身是自2020年8月以來便一直存在的DarkSide，其攻擊目標是能夠滿足該團伙需求的大型私營部門組織。在對美國最大的燃料管道Cplonial Pipeline進行攻擊并導致美國東南部燃料短缺后，DarkSide便面臨國際執法部門和美國政府的嚴厲打擊，5月份，DarkSide服務器關閉，加密貨幣也被未知的第三方獲取。

 

當人們以為DarkSide勒索軟件就此退出舞臺時，2021年7月，披著“馬甲”的BlackMatter強勢上線。BlackMatter出現后不久，研究人員就掌握了它的勒索軟件代碼。據研究人員稱，有關“BlackMatter可能是DarkSide繼任者”的傳言很快便得到了證實，因為首個BlackMatter版本與最后一個DarkSide版本幾乎相同，唯一的區別是細微的增量改進。

 

對于最初的DarkSide勒索軟件，研究人員已經發現了其運營商犯下的一個錯誤，該錯誤允許他們在無需支付贖金的情況下解密由Windows版本的勒索軟件加密的數據，不過該團伙早在2021年1月12日便修復了這一漏洞。

 

當時，為防打草驚蛇，研究人員并未選擇直接披露該漏洞，而是將漏洞上報給了執法部門和受信任方，以便早日開發出解密程序，幫助受害者解密數據。

 

好在對研究人員來說，幸運的是，BlackMatter團伙對其勒索軟件負載進行了更改，這使他們能夠再次恢復受害者的數據，而無需支付贖金。

 

Emsisoft表示，“我們在發現該團伙錯誤的第一時間，便悄悄聯系了我們的合作伙伴，他們會在受害者支付BlackMatter贖金之前幫助我們接觸到盡可能多的受害者。”

 

研究人員表示，他們在操作過程中面臨的最大挑戰之一就與社交媒體有關，尤其是Twitter。在2021年9月發生的一起備受矚目的BlackMatter勒索事件中，贖金通知被泄露了出去。

 

Emsisoft首席技術官Fabian Wosar表示，“贖金通知(包括BlackMatter的在內)中包含對受害者極為重要的信息，包括有關如何與威脅行為者聯系和溝通的說明。因此，任何有權訪問通知的人都可以冒充受害者與勒索團伙互動。”

 

這就意味著Twitter信息安全社區介入并開始劫持受害者和罪犯之間的談判。這破壞了執法部門和安全研究人員在此過程中收集任何類型的情報。

 

Wosar補充道，“我們已經與勒索軟件戰斗了十多年，所以我們比任何人都更了解信息安全社區對勒索軟件威脅行為者的挫敗感。之后，BlackMatter便封鎖了他們的平臺，也阻斷了我們與受害者接觸的途徑，導致錯過了許多本來無需支付贖金的受害者。重新恢復運營時，BlackMatter已經修復了允許解密受害者數據的漏洞。不過，這個特定漏洞的結束并不意味著我們的工作已經完成，雖然我們相信我們已經設法接觸到了許多BlackMatter受害者，但仍有一些我們無法聯系到的受害者存在。”

 

版權聲明：本文為企業網D1Net編譯，轉載需注明出處為：企業網D1Net，如果不注明出處，企業網D1Net將保留追究其法律責任的權利。