Последнее обновление 01.01.2023 — QGames
Фирма по кибербезопасности Emsisoft с этого лета тайно расшифровывает жертв вымогателей BlackMatter, экономя жертвам миллионы долларов.
Emsisoft и ее технический директор Фабиан Восар помогают жертвам программ-вымогателей восстанавливать свои файлы с 2012 года, когда была запущена операция под названием ACCDFISA как первая современная программа-вымогатель.
С тех пор Восар и другие неустанно работают над поиском недостатков в алгоритмах шифрования программ-вымогателей, которые позволяют создавать дешифраторы.
Однако, чтобы помешать бандам вымогателей исправить эти недостатки, Emsisoft незаметно работает с доверенными партнерами в правоохранительных органах и реагировании на инциденты, чтобы делиться новостями об этих дешифраторах, а не делать их общедоступными.
Секретный дешифратор BlackMatter
Вскоре после запуска программы-вымогателя BlackMatter Emsisoft обнаружила уязвимость, позволившую им создать дешифратор для восстановления файлов жертвы без уплаты выкупа.
Emsisoft немедленно уведомила правоохранительные органы, фирмы, ведущие переговоры о программах-вымогателях, фирмы по реагированию на инциденты, CERTS по всему миру и доверенных партнеров, предоставив информацию о дешифраторе.
Это позволило этим доверенным сторонам направлять жертв BlackMatter в Emsisoft для восстановления их файлов, а не платить выкуп.
«С тех пор мы были заняты тем, что помогали жертвам BlackMatter восстановить свои данные. С помощью правоохранительных органов, CERT и партнеров из частного сектора во многих странах мы смогли связаться с многочисленными жертвами, помогая им избежать требований на десятки миллионов долларов. , «объясняет Восар в своем блоге о дешифраторе BlackMatter.
Помимо рефералов, Emsisoft также связывалась с жертвами, найденными с помощью образцов BlackMatter и записок о выкупе, публично загруженных на различные сайты.
Когда образцы BlackMatter становятся общедоступными, можно было извлечь записку о выкупе и получить доступ к переговорам между жертвой и бандой вымогателей. После идентификации жертвы Emsisoft в частном порядке связывался с ними по поводу дешифратора, чтобы они не платили выкуп.
Если бы Emsisoft смогла найти образцы и заметки вымогателей, другие люди также могли бы использовать их для взлома переговорных чатов или обмена изображениями чатов в Твиттере.
В конечном итоге это привело к тому, что BlackMatter заблокировал их сайт переговоров, чтобы только жертвы могли получить доступ, что сделало невозможным для исследователей найти жертв таким образом.
«Мы боремся с программами-вымогателями более десяти лет, поэтому мы лучше всех понимаем разочарование сообщества специалистов по информационной безопасности по отношению к злоумышленникам», — поделился Восар.
«Однако, каким бы катарсисом ни казались ругательства, это привело к тому, что BlackMatter заблокировал их платформу и заблокировал нас и всех остальных в процессе».
Поскольку жертвы начали отказываться платить, BlackMatter становился все более подозрительным и сердитым на участников переговоров о программах-вымогателях.
Один из ответственных за инцидент и переговорщик сказал BleepingComputer, что они начали получать угрозы смертью от BlackMatter после того, как ни одна из жертв атаки не заплатила выкуп.
Все хорошее когда-нибудь заканчивается
К сожалению, BlackMatter узнала о дешифраторе в конце сентября и смогла исправить ошибки, позволившие Emsisoft расшифровать файлы жертв.
«Один из способов, которым BlackMatter мог узнать о существовании уязвимости, — это мониторинг сетей и сообщений компании после нарушения связи. Вот почему мы всегда рекомендуем жертвам переключаться на безопасный канал связи, например, в специальную группу Signal, поскольку а также убедитесь, что ни одна из скомпрометированных сетей не участвует в общих процессах восстановления, — сказал Восар BleepingComputer.
Тем жертвам, которые были зашифрованы до конца сентября, Emsisoft все еще может помочь с помощью службы восстановления программ-вымогателей .
Восар сказал нам, что они пытаются разобраться с таким количеством дел бесплатно, при этом домашние пользователи, некоммерческие организации и жертвы на предприятиях, участвующие в глобальных ответных мерах на пандемию, получают бесплатную поддержку.
«В отличие от большей части отрасли, мы не взимаем почасовую оплату, а работаем по фиксированной цене. Точная плата обычно составляет 4 цифры, но может зависеть от конкретных обстоятельств. Если жертва не может позволить себе платить мы обычно отказываемся от платы или приходим к альтернативному соглашению. В конечном счете, плата не предназначена для того, чтобы сделать нас богатыми «. — Фабиан Восар.
Жертвам, зашифрованным с помощью BlackMatter после исправления ошибки, больше нельзя помочь, но Emsisoft предлагает вам по-прежнему связываться с ними, чтобы узнать, есть ли что-нибудь, чему они могут научиться из новых образцов.
Emsisoft также обнаружила уязвимости примерно в десятке активных операций вымогателей, которые можно использовать для восстановления зашифрованных данных жертв без выкупа.
Emsisoft советует жертвам обращаться в правоохранительные органы, чтобы сообщать об атаках, которые могут собирать ценные индикаторы компрометации для целей расследования и направлять жертв в Emsisoft, если доступен дешифратор.
DarkSide: предшественник BlackMatter
BlackMatter вступил в бой этим летом вскоре после того, как другая известная банда вымогателей, известная как DarkSide, прекратила свою деятельность.
Банда DarkSide была высокотехнологичной операцией по вымогательству, которая была запущена в августе 2020 года и была известна многочисленными атаками на организации по всему миру.
Однако их нападение на Colonial Pipeline , крупнейший топливопровод в Соединенных Штатах, привлекло к банде все внимание правительства США . Это привело к захвату их серверов и взысканию правительством США 4 миллионов долларов выкупа Colonial Pipeline.
Понимая, что они откусили больше, чем могли прожевать, DarkSide быстро прекратили свою деятельность и скрылись в тени.
Однако, будь то жадность или необходимость быть в центре внимания, банды вымогателей всегда возвращаются под новыми именами.
Так обстоит дело с DarkSide, который вернулся как BlackMatter в июле.