De afgelopen twee weken zijn er ransomware-decryptors voor de BlackByte-, Atom Silo-, LockFile- en Babuk-soorten uitgebracht, wat wijst op enige vooruitgang in de strijd tegen een paar kleinere ransomwarebendes.
Vorige week heeft beveiligingsbedrijf Avast drie decryptors uitgebracht, waaronder die voor degenen die zijn getroffen door de AtomSilo-, LockFile- en Babuk-ransomware. Cyberbeveiligingsbedrijf Trustwave heeft twee weken geleden een decryptor uitgebracht voor de BlackByte-ransomware.
Allan Liska, een ransomware-expert bij het beveiligingsbedrijf Recorded Future, vertelde ZDNet dat hoewel het vaak voelt alsof beveiligingsteams de strijd tegen ransomware verliezen, er vooruitgang is.
“Sinds augustus hebben we, volgens mijn telling, decryptors gezien voor BlackMatter, REvil, AtomSilo, Babuk, LockFile, BlackByte, Prometheus en Ragnarok (ik mis waarschijnlijk een aantal anderen), ” zei Liska.
Wanneer Liska vroeg waarom er recentelijk een golf van decryptors werd uitgebracht, maar Liska schreef dit toe aan een aantal factoren.
“Beveiligingsonderzoekers bij bedrijven als Emsisoft worden steeds beter in het vinden van fouten in ransomware en het schrijven van decryptors. En communicatie tussen beveiligingsbedrijven over ransomware neemt toe, dus we delen privé informatie die slachtoffers helpt,” zei Liska.
“We kunnen de impact die 10 wetshandhavingsacties tegen ransomware-groepen hebben niet negeren. Deze acties, zoals de recente, verhogen de kosten van ransomware-operaties, en veel ransomware-groepen van de derde en vierde tier besluiten dat dit niet langer nodig is. Het risico waard. Dus gaan ze met pensioen en geven ze hun sleutels vrij, waardoor het gemakkelijker wordt om decryptors te maken.”
BreachQuest CTO Jake Williams merkte op dat elk van de meest recente ransomware decryptors die werden vrijgegeven, mogelijk waren gemaakt door operationele beveiliging of programmeerfouten gemaakt door de dreigingsactoren.
Beveiligingsteams, voegde hij eraan toe, hadden weinig te maken met deze recente golf van decryptors, behalve de mogelijkheid dat ze beter werden in het operationaliseren van beschikbare gegevens.
“De LockFile/AtomSilo-decryptor richt zich op zwakke punten in de implementatie van het cryptografische algoritme dat wordt gebruikt om de bestanden te versleutelen. Hetzelfde geldt voor BlackByte. In het geval van Babuk werd de decryptor ingeschakeld door een broncodedump in september. Het is vermeldenswaard dat alle versleutelingen die door Babuk zijn uitgevoerd na de broncodedump kunnen waarschijnlijk niet worden ontsleuteld door de tool. Dit komt omdat de hoofdsleutel is gewijzigd nadat deze in de dump gelekt heeft”, legt Williams uit.
Op de vraag welke recente decryptor zou de meest ingrijpende zijn, zei Williams dat het zonder twijfel Babuk zou zijn.
“Dit werd niet mogelijk gemaakt door enige cryptografische zwakheden en in plaats daarvan was een lek nodig. Het feit dat de ransomware-broncode überhaupt is gelekt, veroorzaakt waarschijnlijk angst in de gemeenschap van ransomware-operators, die de afgelopen maanden ook het lek van de Conti ransomware-filiaal heeft gezien handboek en succesvolle rechtshandhavingsacties tegen REvil,” vertelde Williams aan ZDNet.
Net als Ivan Righi van Digital Shadows zeiden andere experts dat malware-analisten verbeteringen aanbrengen en profiteren van fouten of zwakheden in de encryptieprocessen van bedreigingsactoren.
Ransomware is een belangrijk aandachtspunt geweest voor veel beveiligingsteams in 2020 en 2021, en hoe meer middelen worden geïnvesteerd in de bestrijding van ransomware, hoe kleiner de ruimte voor fouten vanuit het perspectief van een cybercrimineel, zei Righi.
De afgelopen jaren heeft de rijkdom die door bepaalde ransomwarebendes is binnengebracht, meerdere bedreigingsactoren aangetrokken, van wie sommigen niet zo geavanceerd zijn als anderen.
“Als het aantal ransomware-bendes varianten zich blijven opstapelen, is het geen verrassing dat we zwakke punten zullen vinden in sommige van deze ransomware-varianten, waardoor decoderingssleutels kunnen worden geëxtraheerd”, zei Righi.
Van alle decryptors die de afgelopen maanden zijn uitgebracht, viel de universele decryptor voor slachtoffers van de Kaseya VSA supply chain-aanval het meest op voor Righi.
De universele decryptor werd in september uitgebracht door Bitdefender en werkt alleen voor REvil /Sodinokibi-slachtoffers besmetten vóór 13 juli 2021. Honderden slachtoffers werden geholpen met de decryptor nadat de groep vorige maand opnieuw opdonderen. Later werd bekend dat wetshandhavers uit meerdere landen betrokken waren bij het verstoren van de REvil ransomware-bende.
Maar Righi merkte op dat alleen omdat een decryptor wordt vrijgegeven, dat niet betekent dat een ransomware-bende noodzakelijkerwijs klaar is.
“De release van een decryptor voor een ransomware-variant betekent niet het einde van die ransomware-groep. DarkSide had een decryptor uitgebracht in januari 2021, maar de groep verbeterde gewoon zijn tools en zette de aanvallen voort tot mei 2021, toen de aanval op de koloniale pijpleiding plaatsvond', zei Righi. “Het vrijgeven van decryptors kan echter de reputatie van een groep en het vermogen om nieuwe filialen aan te trekken schaden.”
Beveiliging
Signaal onthult hoe ver de Amerikaanse wetshandhavers gaan om informatie van mensen te krijgen Microsoft: MacOS-fout had aanvallers ondetecteerbare malware kunnen laten installeren Google repareert twee zeer ernstige zero-day-fouten in Chrome Politie steekt verdachten achter 1800 aanvallen aan die 'over de hele wereld verwoestten' Dit monster van een phishing-campagne zit achter uw wachtwoorden aan Cybersecurity 101 : Bescherm uw privacy tegen hackers, spionnen, de overheid Overheid | Beveiliging TV | Gegevensbeheer | CXO | Datacenters