En større ransomware operation blev forhindret i at tjene millioner af dollars, efter at cybersikkerhedsforskere opdagede en fejl i ransomwaren, der gjorde det muligt at genskabe krypterede filer uden at betale løsesum til cyberkriminelle.
Cybersikkerhedsforskere hos Emsisoft har detaljeret beskrevet, hvordan de i al hemmelighed var i stand til at forhindre cyberkriminelle bag BlackMatter ransomware, hvilket reddede adskillige ofre fra at skulle betale løsesummen.
Efter at have holdt det, de gjorde, hemmeligt for at undgå cyberkriminelle finder ud af det, har forskere nu afsløret hvordan de underminerede BlackMatter ved at levere dekrypteringsnøgler til ofre for deres angreb.
BlackMatter har været aktiv i sin nuværende inkarnation siden juli i år, men har faktisk eksisteret i meget længere tid end det, fordi konsensus blandt informationssikkerhedsanalytikere er, at BlackMatter er en rebranded version af DarkSide ransomware.
DarkSide blev tidligere i år berygtet som synderne bag Colonial Pipeline-ransomware-angrebet. Hændelsen førte til mangel på gas og brændstof på tværs af USA's nordøstlige kyst, mens forbryderne gik væk med millioner af dollars da Colonial betalte løsesummen.
Men virkningen af angrebet gik ikke ubemærket hen, og kort efter det Hvide Hus lovede handling mod de ansvarlige, mistede DarkSide kontrollen over en del af deres kritiske infrastruktur, og nogle af deres Bitcoin-punge blev beslaglagt. Gruppen så ud til at blive mørk efter det.
Men DarkSide dukkede hurtigt op igen, da BlackMatter og de cyberkriminelle bag det ikke ser ud til at være blevet afskrækket ved at befinde sig i den amerikanske regerings syn. De er gået i gang med at lancere en række ransomware-angreb mod virksomheder i Nordamerika.
Indlæg af BlackMatter på underjordiske fora, der tilbyder at købe adgang til kompromitterede netværk i USA, Canada, Storbritannien og Australien hævdede, at BlackMatter ikke ville gå efter hospitaler eller statslige institutioner. Men dette var usandt, og udover kritisk infrastruktur i form af adskillige landbrugsvirksomheder har koncernen også slået til blodprøvefaciliteter.
SE: En vindende strategi for cybersikkerhed (ZDNet-særrapport)
“Bandens påstand om, at angreb på den kritiske infrastruktur og visse andre sektorer var tomme: den angreb netop de organisationer, som den sagde, den ikke ville,” siger Brett Callow, trusselsanalytiker hos Emsisoft til ZDNet.
“Så hvorfor fremsatte de påstanden i første omgang? Det kan have været et forsøg på at undgå at tiltrække øjeblikkelig opmærksomhed fra retshåndhævende myndigheder i kølvandet på Colonial Pipeline-hændelsen, eller måske troede de, at virksomheder ville være mere tilbøjelige til at forhandle, hvis de ikke så ud til at være bøller, der angreb hospitaler.”
I december sidste år bemærkede Emsisoft-forskere en fejl begået af DarkSide-operatørerne, der tillod dekryptering af data krypteret af Windows-versionen af ransomware uden behov for at betale løsesum – selvom forbryderne fiksede det i januar.
Det viser sig dog, at ransomware-gruppen begik en lignende fejl endnu en gang, da de omdøbte navnet, og forskere afslørede en fejl i BlackMatter-ransomware-nyttelasten, som gjorde det muligt for ofre at gendanne filer uden at betale løsesum.
Efter at have afsløret den anden sårbarhed, arbejdede Emsisoft sammen med andre for at give så mange BlackMatter-ofre som muligt dekrypteringsnøglen, før de betalte løsesummen, et skridt, der har forhindret cyberkriminelle i at stikke titusinder af millioner af dollars i lommerne.
Desværre fandt BlackMatter til sidst ud af, at noget var galt og lukkede smuthullet.
“BlackMatter vil sandsynligvis have mistanke om, at der var noget galt, da deres omsætning begyndte at falde, og vil være blevet mere mistænksom, jo længere det varede. Desværre er det uundgåeligt, at bander vil indse, at de har et problem i disse situationer. Alt, hvad vi kan gøre, er at arbejde hurtigt og stille for at hjælpe så mange ofre, som vi overhovedet kan, mens mulighedernes vinduer eksisterer,” sagde Callow.
“Denne indsats viser vigtigheden af samarbejde mellem den offentlige og den private sektor. Ved at arbejde sammen kan vi sætte et stort indhug i rentabiliteten af cyberkriminalitet, og det er et nøgleelement i at bekæmpe ransomware-problemet,” tilføjede han.
Ransomware er fortsat et stort informationssikkerhedsproblem, og den bedste måde at undgå at skulle reagere på angreb er ved ikke at blive et offer i første omgang. Cybersikkerhedsstrategier som at anvende sikkerhedsrettelser rettidigt, at sikre multifaktorgodkendelse anvendes på tværs af netværket og kun give brugerne den adgang, de har brug for – for eksempel ved ikke at give administratorrettigheder til folk, der ikke har brug for dem – – kan alle hjælpe med at forhindre ransomware-angreb.
Hvad BlackMatter angår, er det sandsynligt, at de fortsætter – men deres fejl kan have skadet deres omdømme i cyberkriminelle kredse.
“Jeg ville slet ikke blive overrasket, hvis operatørerne skulle opgive BlackMatter-navnet og rebrande. Deres omdømme vil være på toilettet. Deres gentagne fejltagelser har kostet tilknyttede virksomheder penge. Masser af penge,” sagde Callow.
MERE OM CYBERSIKKERHED
Ransomware: En virksomhed betalte millioner for at få deres data tilbage, men glemte at gøre én ting. Så hackerne kom tilbage igenRansomware: At lede efter svagheder i dit eget netværk er nøglen til at stoppe angrebHar vi nået toppen af ransomware? Hvordan internettets største sikkerhedsproblem er vokset, og hvad sker der derefterRansomware: Selv når hackerne er i dit netværk, er det måske ikke for sent Ransomware-bander klager over, at andre skurke stjæler deres løsesum
Relaterede emner:
Security TV Data Management CXO-datacentre