總部位于紐西蘭的網絡安全公司Emsisoft一直在悄悄地幫助BlackMatter勒索軟體的受害者恢複加密檔案,防止"數千萬美元"的贖金支付,并可能标志着BlackMatter事件的結束。BlackMatter于7月首次出現,作為DarkSide勒索軟體的更新版,用于攻擊殖民地管道。
CISA最近專門針對勒索軟體發出了警告,稱其對被認為對基礎設施至關重要的組織進行了"多次"攻擊,其中包括美國食品和農業部門的兩次攻擊。勒索軟體是一種服務操作,也是最近對奧林巴斯的攻擊的罪魁禍首,該攻擊迫使這家日大學技巨頭關閉了其在歐洲,中東和非洲的業務。
EMSIsoft今年早些時候發現,與DarkSide一樣,BlackMatter的加密機制存在一個漏洞,允許Emsisoft解密檔案,而BlackMatter的加密過程存在一個漏洞,允許其在不支付贖金的情況下恢複加密檔案。Emsisoft直到現在才披露該漏洞,因為它擔心這将允許blackMatter Group立即推出修複程式。
"知道DarkSide過去的錯誤,當BlackMatter修改他們的勒索軟體有效載荷時,我們感到驚訝,這樣我們就可以在不支付贖金的情況下再次恢複受害者的資料,"Emsisoft首席技術官Fabian Wosar在一篇部落格文章中說。
漏洞發現後,Emsisoft 向執法部門、勒索軟體談判公司、事件響應公司、國家計算機應急準備小組 (CERT) 和受信任的合作夥伴通報了其解密功能。這允許這些受信任的各方将BlackMatter受害者轉介給Emsisoft以恢複他們的文檔,而不是支付贖金。
"從那時起,我們一直忙于幫助BlackMatter受害者恢複他們的資料,"Wosar說。在幾個國家的執法機構,CERT和私營部門合作夥伴的幫助下,我們能夠接觸到許多受害者,并幫助他們避免數千萬美元的要求。Emsisoft還聯系了通過BlackMatter樣本和公開上傳到各個網站的贖金記錄發現的受害者。