勒索軟件也有漏洞:因漏洞失去數(shù)百萬(wàn)贖金收入
責(zé)編:gltian |2021-11-01 13:49:16
網(wǎng)絡(luò)安全研究人員發(fā)現(xiàn)了勒索軟件中的漏洞,不用向網(wǎng)絡(luò)犯罪團(tuán)伙支付贖金就可以恢復(fù)遭加密的文件,打破重大勒索軟件攻擊行動(dòng)攫取數(shù)百萬(wàn)美元贖金的期望。
Emsisoft的網(wǎng)絡(luò)安全研究人員詳細(xì)描述了他們挫敗BlackMatter勒索軟件,為數(shù)家受害公司省下贖金支出的全過(guò)程。
此前,研究人員一直低調(diào)處理以免網(wǎng)絡(luò)犯罪團(tuán)伙察覺(jué);如今,他們發(fā)布文章揭示自己是怎么通過(guò)向受害者提供解密密鑰來(lái)挫敗BlackMatter的。
自今年7月以來(lái),BlackMatter就一直以當(dāng)前樣態(tài)頻頻出擊,但實(shí)際上,這款勒索軟件存在的時(shí)間遠(yuǎn)早于此。因?yàn)樾畔踩治鰩熞堰_(dá)成共識(shí):BlackMatter就是DarkSide勒索軟件的改名版,不過(guò)是新瓶裝舊酒。
由于是Colonial Pipeline勒索軟件攻擊背后的罪魁禍?zhǔn)祝珼arkSide在今年早些時(shí)候臭名昭著。這起事件導(dǎo)致美國(guó)東北部沿海地區(qū)天然氣和燃料短缺,而其背后的網(wǎng)絡(luò)犯罪團(tuán)伙卻卷走了Colonial數(shù)百萬(wàn)美元贖金。
不過(guò),這起攻擊事件留下了不容忽視的影響,并且就在白宮誓言要打擊其背后的責(zé)任人后不久,DarkSide便失去了對(duì)其部分關(guān)鍵基礎(chǔ)設(shè)施的控制,他們的一些比特幣錢包也被抄沒(méi)了。此后,該團(tuán)伙似乎銷聲匿跡了。
然而,DarkSide不久便以BlackMatter之名重出江湖,其背后的網(wǎng)絡(luò)犯罪團(tuán)伙似乎并沒(méi)有因?yàn)楸幻绹?guó)政府盯上就有所收斂。他們已經(jīng)對(duì)北美的企業(yè)發(fā)起了一系列勒索軟件攻擊。
在地下論壇上,BlackMatter發(fā)布帖子提供購(gòu)買美國(guó)、加拿大、英國(guó)和澳大利亞受感染網(wǎng)絡(luò)的訪問(wèn)權(quán)限,并聲稱不會(huì)攻擊醫(yī)院或國(guó)家機(jī)構(gòu)。但真實(shí)情況并非如此,除了幾家農(nóng)業(yè)公司的關(guān)鍵基礎(chǔ)設(shè)施遭攻擊,該團(tuán)伙還襲擊了血液檢測(cè)機(jī)構(gòu)。
Emsisoft威脅分析師Brett Callow向媒體透露:“該團(tuán)伙聲稱沒(méi)有攻擊關(guān)鍵基礎(chǔ)設(shè)施和某些其他部門,但正是這些他們聲稱不會(huì)攻擊的組織和機(jī)構(gòu)遭到了襲擊。”
“那他們一開始號(hào)稱不會(huì)攻擊這些行業(yè)是為什么呢?或許是試圖在Colonial Pipeline事件余波未平時(shí)避免馬上引起執(zhí)法機(jī)構(gòu)的注意,又或者,他們覺(jué)得只要自己看上去不像襲擊醫(yī)院的暴徒,受害公司就更傾向于協(xié)商贖金。”
去年12月,Emsisoft研究人員注意到DarkSide運(yùn)營(yíng)商犯了一個(gè)錯(cuò)誤,由于這個(gè)漏洞,該勒索軟件Windows版所加密的數(shù)據(jù)可以在無(wú)需支付贖金的情況下解密——盡管這個(gè)漏洞在1月份就被修復(fù)了。
然而,事實(shí)證明,這個(gè)勒索軟件團(tuán)伙在換個(gè)名字重出江湖時(shí)再次犯了類似的錯(cuò)誤,研究人員發(fā)現(xiàn)了BlackMatter勒索軟件有效載荷中存在缺陷,利用這個(gè)缺陷,受害者可以在不支付贖金的情況下恢復(fù)文件。
發(fā)現(xiàn)這第二個(gè)漏洞后,Emsisoft與其他人合作,盡量在BlackMatter受害者支付贖金之前為其提供解密密鑰。此舉阻止了網(wǎng)絡(luò)犯罪團(tuán)伙將成百上千萬(wàn)美元收入囊中。
但遺憾的是,BlackMatter最終還是發(fā)現(xiàn)了問(wèn)題,并堵上了這個(gè)漏洞。
“當(dāng)收入開始下降時(shí),BlackMatter背后的團(tuán)伙可能就懷疑有什么不對(duì)勁了,并且隨著時(shí)間的推移,情況會(huì)變得更加可疑。不幸的是,在這種情況下,網(wǎng)絡(luò)犯罪團(tuán)伙難免會(huì)發(fā)覺(jué)自己遇到了問(wèn)題。我們所能做的只有快速行動(dòng),在機(jī)會(huì)窗口仍然存在的時(shí)候悄悄幫助盡可能多的受害者。”
“這一工作展現(xiàn)了公營(yíng)-私營(yíng)部門合作的重要性。通過(guò)合作,我們可以大大降低網(wǎng)絡(luò)犯罪的盈利能力,這是應(yīng)對(duì)勒索軟件問(wèn)題的關(guān)鍵因素。”
勒索軟件仍然是一個(gè)重大信息安全問(wèn)題,避免不得不響應(yīng)攻擊的最佳方法,是一開始就不成為受害者。及時(shí)應(yīng)用安全補(bǔ)丁、確保在整個(gè)網(wǎng)絡(luò)中應(yīng)用多因素身份驗(yàn)證,以及僅為用戶提供所需最小訪問(wèn)權(quán)限(例如非必要不授予管理員權(quán)限)等網(wǎng)絡(luò)安全策略,都可以幫助防止勒索軟件攻擊。
至于BlackMatter,這伙網(wǎng)絡(luò)罪犯很可能會(huì)繼續(xù)作惡,但他們的失誤可能已經(jīng)損害了其在網(wǎng)絡(luò)犯罪圈中的聲譽(yù)。
“如果他們拋棄BlackMatter的名號(hào)換個(gè)名字再來(lái),我一點(diǎn)都不會(huì)感到驚訝。他們的名聲會(huì)臭掉。同樣的錯(cuò)誤一犯再犯讓下游黑客損失了金錢。大量金錢。”
Emsisoft破解BlackMatter全過(guò)程:
https://blog.emsisoft.com/en/39181/on-the-matter-of-blackmatter/
來(lái)源:數(shù)世咨詢
- ISC.AI 2025正式啟動(dòng):AI與安全協(xié)同進(jìn)化,開啟數(shù)智未來(lái)
- 360安全云聯(lián)運(yùn)商座談會(huì)圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營(yíng)聯(lián)運(yùn)”認(rèn)證!
- 280萬(wàn)人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團(tuán)賠償超4700萬(wàn)元
- 推動(dòng)數(shù)據(jù)要素安全流通的機(jī)制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個(gè)人信息泄露,企業(yè)賠償員工超5000萬(wàn)元
- UTG-Q-017:“短平快”體系下的高級(jí)竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國(guó)美中委員會(huì)發(fā)布DeepSeek調(diào)查報(bào)告
- 2024年中國(guó)網(wǎng)絡(luò)與信息法治建設(shè)回顧