总部位于新西兰的网络安全公司Emsisoft一直在悄悄地帮助BlackMatter勒索软件的受害者恢复加密文件,防止"数千万美元"的赎金支付,并可能标志着BlackMatter事件的结束。BlackMatter于7月首次出现,作为DarkSide勒索软件的升级版,用于攻击殖民地管道。
CISA最近专门针对勒索软件发出了警告,称其对被认为对基础设施至关重要的组织进行了"多次"攻击,其中包括美国食品和农业部门的两次攻击。勒索软件是一种服务操作,也是最近对奥林巴斯的攻击的罪魁祸首,该攻击迫使这家日本科技巨头关闭了其在欧洲,中东和非洲的业务。
EMSIsoft今年早些时候发现,与DarkSide一样,BlackMatter的加密机制存在一个漏洞,允许Emsisoft解密文件,而BlackMatter的加密过程存在一个漏洞,允许其在不支付赎金的情况下恢复加密文件。Emsisoft直到现在才披露该漏洞,因为它担心这将允许blackMatter Group立即推出修复程序。
"知道DarkSide过去的错误,当BlackMatter修改他们的勒索软件有效载荷时,我们感到惊讶,这样我们就可以在不支付赎金的情况下再次恢复受害者的数据,"Emsisoft首席技术官Fabian Wosar在一篇博客文章中说。
漏洞发现后,Emsisoft 向执法部门、勒索软件谈判公司、事件响应公司、国家计算机应急准备小组 (CERT) 和受信任的合作伙伴通报了其解密功能。这允许这些受信任的各方将BlackMatter受害者转介给Emsisoft以恢复他们的文档,而不是支付赎金。
"从那时起,我们一直忙于帮助BlackMatter受害者恢复他们的数据,"Wosar说。在几个国家的执法机构,CERT和私营部门合作伙伴的帮助下,我们能够接触到许多受害者,并帮助他们避免数千万美元的要求。Emsisoft还联系了通过BlackMatter样本和公开上传到各个网站的赎金记录发现的受害者。