總部位於紐西蘭的網路安全公司 Emsisoft 一直在悄悄地幫助 BlackMatter 勒索軟體的受害者恢復被加密的檔案,防止了“數千萬美元”的贖金支付,並可能標誌著 BlackMatter 事件的永久結束。作為 DarkSide(用來攻擊 Colonial Pipeline)勒索軟體的升級,BlackMatter 於今年 7 月首次出現。
最近 CISA 專門針對該勒索軟體發出警告,表示它針對被視為關鍵基礎設施的組織進行了“多次”攻擊,包括美國食品和農業部門的兩次攻擊。該勒索軟體作為一種服務操作,也是最近對奧林巴斯的攻擊的罪魁禍首,這迫使這家日本科技巨頭關閉了其歐洲、中東和非洲地區的業務。
EMSIsoft 今年早些時候發現,與 DarkSide 一樣,BlackMatter 的加密機制有一個漏洞,允許 Emsisoft解密檔案,BlackMatter 的加密過程也有一個漏洞,允許它恢復加密的檔案而不必支付贖金。Emsisoft 直到現在才透露這個漏洞的存在,因為它擔心會讓 BlackMatter 集團立即推出一個修復程式。
Emsisoft 首席技術官 Fabian Wosar 在一篇部落格文章中說:“瞭解 DarkSide 過去的錯誤,當 BlackMatter 對他們的勒索軟體有效載荷進行修改,使我們能夠再次恢復受害者的資料而無需支付贖金時,我們感到很驚訝”。
在發現漏洞之後,Emsisoft 就向執法部門、勒索軟體談判公司、事件響應公司、國家計算機應急準備小組(CERT)和值得信賴的合作伙伴通報了其解密能力的資訊。這使得這些受信任的各方能夠將 BlackMatter 受害者推薦給 Emsisoft,以恢復其檔案,而不是支付贖金。
Wosar 表示:“從那時起,我們一直在忙於幫助BlackMatter受害者恢復他們的資料。在多個國家的執法機構、CERT和私營部門合作伙伴的幫助下,我們能夠接觸到許多受害者,幫助他們避免了數千萬美元的要求”。Emsisoft 還聯絡了透過 BlackMatter 樣本和公開上傳到各個網站的贖金筆記發現的受害者。
