Ransomware-dekrypteringar för stammarna BlackByte, Atom Silo, LockFile och Babuk släpptes under de senaste två veckorna, vilket belyser vissa framsteg i kampen mot några av de mindre ransomware-gängen.
Förra veckan släppte säkerhetsföretaget Avast tre dekrypteringar, inklusive sådana för dem som drabbats av AtomSilo, LockFile och Babuk ransomware. Cybersäkerhetsföretaget Trustwave släppte en dekryptering för BlackByte ransomware för två veckor sedan.
Allan Liska, en ransomware-expert på säkerhetsföretaget Recorded Future, sa till ZDNet att även om det ofta känns som om säkerhetsteam förlorar kampen mot ransomware, så finns det framsteg.
“Sedan augusti, enligt min räkning, har vi sett dekrypteringar för BlackMatter, REvil, AtomSilo, Babuk, LockFile, BlackByte, Prometheus och Ragnarok (jag saknar förmodligen några andra),” sa Liska.
När frågade varför det nyligen släpptes en våg av dekrypteringar, tillskrev Liska det till ett antal faktorer.
“Säkerhetsforskare på företag som Emsisoft blir bättre på att hitta brister i ransomware och skriva dekrypteringar. Och kommunikation. mellan säkerhetsföretag om ransomware ökar, så vi delar information privat som hjälper offren,” sa Liska.
“Vi kan inte utesluta effekten som 10 brottsbekämpande åtgärder mot ransomware-grupper också har. Dessa åtgärder, som de nyligen, höjer kostnaderna för ransomware-operationer, och många tredje och fjärde klass ransomware-grupper beslutar att det inte längre är det värt risken. Så de “går i pension” och släpper sina nycklar, vilket gör det enklare att skapa dekrypteringar.”
BreachQuest CTO Jake Williams noterade att var och en av de senaste dekrypteringarna för ransomware som släpptes var aktiverade av operativ säkerhet eller programmeringsmisstag som hotaktörerna begått.
Säkerhetsteam, tillade han, hade lite att göra med den senaste vågen av dekrypteringar förutom möjligheten att de blev bättre på att operationalisera tillgänglig data.
“LockFile/AtomSilo-dekryptatorn riktar sig mot svagheter i implementeringen av den kryptografiska algoritmen som används för att kryptera filerna. Detsamma gäller för BlackByte. När det gäller Babuk aktiverades dekrypteringen av en källkodsdump i september. Det är värt att notera att eventuella krypteringar som utförs av Babuk efter källkodsdumpningen kan förmodligen inte dekrypteras av verktyget. Detta beror på att huvudnyckeln har ändrats efter att ha läckt i dumpen,” förklarade Williams.
På frågan vilken nyligen Decryptor skulle vara den mest följdriktiga, sade Williams att det utan tvekan skulle vara Babuk.
“Detta möjliggjordes inte av några kryptografiska svagheter och krävde istället en läcka. Det faktum att ransomware-källkoden överhuvudtaget läckte ut skapar sannolikt oro i ransomware-operatörernas community, som under de senaste månaderna också har sett läckan av Conti ransomware-affiliate handbok och framgångsrika brottsbekämpande åtgärder mot REvil,” sa Williams till ZDNet.
Som Digital Shadows Ivan Righi, sa andra experter att skadlig programvara förbättrar och drar nytta av misstag eller svagheter i hotaktörers krypteringsprocesser.
Ransomware har varit ett stort fokus för många säkerhetsteam under 2020 och 2021, och ju mer resurser som satsas på att bekämpa ransomware, desto mindre är utrymmet för misstag ur en cyberkriminells perspektiv, sa Righi.
Under de senaste åren har rikedomen som inbringats av vissa ransomware-gäng attraherat flera hotaktörer, av vilka några inte är lika sofistikerade som andra.
“Som antalet ransomware” varianter fortsätter att hopa sig, det är ingen överraskning att vi kommer att börja hitta svagheter i några av dessa ransomware-varianter, vilket kan göra det möjligt att extrahera dekrypteringsnycklar, säger Righi.
Av alla dekrypteringar som släppts under de senaste månaderna stack den universella dekrypteringsanordningen för offer för Kaseya VSA-attacken i leveranskedjan ut mest för Righi.
Släppt i september av Bitdefender, fungerar den universella dekryptatorn bara för REvil. /Sodinokibi-offer infekterade före den 13 juli 2021. Hundratals offer fick hjälp med dekrypteringen efter att gruppen blev mörk igen förra månaden. Det avslöjades senare att brottsbekämpande tjänstemän från flera länder var inblandade i att störa REvil ransomware-gänget.
Men Righi noterade att bara för att en dekryptering släpps betyder det inte att ett ransomware-gäng nödvändigtvis är färdigt.
“Släppandet av en dekryptering för en ransomware-variant betyder inte slutet för den ransomware-gruppen. DarkSide släppte en decryptor i januari 2021, men gruppen förbättrade helt enkelt sina verktyg och fortsatte attacker fram till maj 2021, när Colonial Pipeline-attacken inträffade,” sa Righi. “Men släppandet av dekrypteringar kan skada en grupps rykte och förmåga att attrahera nya dotterbolag.”
Säkerhet
Signal avslöjar hur långt amerikansk brottsbekämpning kommer att gå för att få folks information Microsoft: MacOS-brister kunde ha låtit angripare installera oupptäckbar skadlig programvara Google åtgärdar två allvarliga nolldagarsbrister i Chrome. Polisen angriper misstänkta bakom 1 800 attacker som “vållar förödelse över hela världen” Detta monster av en nätfiskekampanj är ute efter dina lösenord Cybersecurity 101 : Skydda din integritet från hackare, spioner, regeringen | Säkerhets-TV | Datahantering | CXO | Datacenter