Ransomware-dekryptering til BlackByte-, Atom Silo-, LockFile- og Babuk-stammerne blev frigivet i løbet af de sidste to uger, hvilket fremhæver en vis fremskridt i kampen mod nogle få af de mindre ransomware-bander.
I sidste uge frigav sikkerhedsfirmaet Avast tre dekrypteringer, inklusive dem, der er ramt af AtomSilo, LockFile og Babuk ransomware. Cybersikkerhedsfirmaet Trustwave frigav en dekryptering til BlackByte ransomware for to uger siden.
Allan Liska, en ransomware-ekspert hos Recorded Future-sikkerhedsfirmaet, fortalte ZDNet, at selvom det ofte føles, som om sikkerhedsteams taber kampen mod ransomware, så er der fremskridt ved at blive set.
“Siden august har vi efter min optælling set dekrypteringer til BlackMatter, REvil, AtomSilo, Babuk, LockFile, BlackByte, Prometheus og Ragnarok (jeg mangler sikkert nogle andre),” sagde Liska.
Når spurgte, hvorfor der for nylig blev frigivet en bølge af dekrypteringer, tilskrev Liska det til en række faktorer.
“Sikkerhedsforskere hos virksomheder som Emsisoft bliver bedre til at finde fejl i ransomware og skrive dekrypteringer. Og kommunikation mellem sikkerhedsfirmaer om ransomware er stigende, så vi deler information privat, der hjælper ofre,” sagde Liska.
“Vi kan ikke udelukke den indvirkning, som 10 retshåndhævende aktioner mod ransomware-grupper også har. Disse aktioner, ligesom dem for nylig, øger omkostningerne ved ransomware-operationer, og mange tredje og fjerde ransomware-grupper beslutter, at det ikke længere er tilfældet. risikoen værd. Så de “trækker sig tilbage” og frigiver deres nøgler, hvilket gør det nemmere at oprette dekrypteringer.”
BreachQuest CTO Jake Williams bemærkede, at hver af de seneste frigivne ransomware-dekrypteringer var aktiveret af driftssikkerhed eller programmeringsfejl begået af trusselsaktørerne.
Sikkerhedsteams, tilføjede han, havde meget lidt at gøre med denne seneste bølge af dekrypteringer udover muligheden for, at de blev bedre til at operationalisere tilgængelige data.
“LockFile/AtomSilo-dekryptatoren retter sig mod svagheder i implementeringen af den kryptografiske algoritme, der bruges til at kryptere filerne. Det samme gælder for BlackByte. I tilfældet med Babuk blev dekrypteringen aktiveret af et kildekode-dump i september. Det er værd at bemærke, at eventuelle krypteringer udført af Babuk efter kildekode-dumpet kan sandsynligvis ikke dekrypteres af værktøjet. Dette skyldes, at hovednøglen er blevet ændret efter læk i dumpen,” forklarede Williams.
Da han blev spurgt, hvilken seneste decryptor ville være den mest konsekvens, sagde Williams, at det uden tvivl ville være Babuk.
“Dette blev ikke aktiveret af nogen kryptografiske svagheder og krævede i stedet et læk. Det faktum, at ransomware-kildekoden overhovedet lækkede, skaber sandsynligvis angst i ransomware-operatørsamfundet, som i de seneste måneder også har set lækket af Conti ransomware-tilknyttede selskab. håndbog og vellykket retshåndhævelsesaktion mod REvil,” sagde Williams til ZDNet.
Ligesom Digital Shadows' Ivan Righi sagde andre eksperter, at malwareanalytikere forbedrer og udnytter fejl eller svagheder i trusselsaktørers krypteringsprocesser.
Ransomware har været et stort fokus for mange sikkerhedshold i 2020 og 2021, og jo flere ressourcer, der investeres i at bekæmpe ransomware, jo mindre er pladsen til fejl fra en cyberkriminelles perspektiv, sagde Righi.
I løbet af de sidste par år har den rigdom, som visse ransomware-bander har indbragt, tiltrukket flere trusselsaktører, hvoraf nogle ikke er så sofistikerede som andre.
“Som antallet af ransomware varianter fortsætter med at hobe sig op, det er ingen overraskelse, at vi vil begynde at finde svagheder i nogle af disse ransomware-varianter, hvilket kan gøre det muligt at udtrække dekrypteringsnøgler,” sagde Righi.
Af alle de dekrypteringer, der blev frigivet i løbet af de sidste par måneder, skilte den universelle dekryptering til ofre for Kaseya VSA-forsyningskædeangrebet sig mest ud for Righi.
Den universelle dekryptering, der blev udgivet i september af Bitdefender, virker kun for REvil /Sodinokibi-ofre smittet før den 13. juli 2021. Hundredvis af ofre blev hjulpet med dekrypteringen, efter at gruppen blev mørk igen i sidste måned. Det blev senere afsløret, at retshåndhævende embedsmænd fra flere lande var involveret i at forstyrre REvil ransomware-banden.
Men Righi bemærkede, at bare fordi en dekryptering er frigivet, betyder det ikke, at en ransomware-bande nødvendigvis er færdig.
“Udgivelsen af en dekryptering til en ransomware-variant betyder ikke slutningen på den ransomware-gruppe. DarkSide havde en dekryptering frigivet i januar 2021, men gruppen forbedrede simpelthen sine værktøjer og fortsatte angreb indtil maj 2021, da Colonial Pipeline-angrebet fandt sted,” sagde Righi. “Men frigivelsen af dekrypteringer kan skade en gruppes omdømme og evne til at tiltrække nye tilknyttede virksomheder.”
Sikkerhed
Signal afslører, hvor langt amerikansk retshåndhævelse vil gå for at få folks oplysninger Microsoft: MacOS-fejl kunne have ladet angribere installere uopdagelig malware Google retter to alvorlige nul-dages-fejl i Chrome. Politiet stikker mistænkte bag 1.800 angreb, der 'ødelagde kaos over hele verden' Dette monster af en phishing-kampagne er på jagt efter dine adgangskoder Cybersecurity 101 : Beskyt dit privatliv mod hackere, spioner, regeringens regering | Sikkerheds-tv | Datastyring | CXO | Datacentre