Ransomware-dekryptering for BlackByte-, Atom Silo-, LockFile- og Babuk-stammene ble utgitt i løpet av de siste to ukene, noe som fremhever en viss fremgang i kampen mot noen av de mindre løsepengevaregjengene.
Sist uke ga sikkerhetsselskapet Avast ut tre dekrypteringer, inkludert de som er berørt av løsepengevarene AtomSilo, LockFile og Babuk. Cybersikkerhetsfirmaet Trustwave ga ut en dekryptering for BlackByte-ransomware for to uker siden.
Allan Liska, en løsepengevareekspert hos sikkerhetsselskapet Recorded Future, sa til ZDNet at selv om det ofte føles som om sikkerhetsteam taper kampen mot løsepengevare, er det fremgang å se.
“Siden august, etter min opptelling, har vi sett dekrypteringer for BlackMatter, REvil, AtomSilo, Babuk, LockFile, BlackByte, Prometheus og Ragnarok (jeg mangler sannsynligvis noen andre),” sa Liska.
Når På spørsmål om hvorfor det nylig ble utgitt en bølge av dekrypteringer, tilskrev Liska det til en rekke faktorer.
“Sikkerhetsforskere ved selskaper som Emsisoft blir stadig bedre til å finne feil i løsepengevare og skrive dekrypteringer. Og kommunikasjon mellom sikkerhetsselskaper på løsepengevare øker, så vi deler informasjon privat som hjelper ofrene,” sa Liska.
“Vi kan ikke utelukke virkningen som 10 rettshåndhevelsesaksjoner mot løsepengevaregrupper også har. Disse handlingene, som de nylig, øker kostnadene for løsepengevareoperasjoner, og mange løsepengevaregrupper på tredje og fjerde nivå bestemmer seg for at det ikke lenger er det verdt risikoen. Så de “trekker seg tilbake” og frigir nøklene sine, noe som gjør det enklere å lage dekrypteringer.”
BreachQuest CTO Jake Williams bemerket at hver av de nyeste løsepengevare-dekryptørene som ble utgitt ble aktivert av operasjonell sikkerhet eller programmeringsfeil gjort av trusselaktørene.
Sikkerhetsteam, la han til, hadde lite å gjøre med denne siste bølgen av dekrypteringer annet enn muligheten for at de ble bedre til å operasjonalisere tilgjengelige data.
“LockFile/AtomSilo-dekrypteren retter seg mot svakheter i implementeringen av den kryptografiske algoritmen som brukes til å kryptere filene. Det samme gjelder for BlackByte. Når det gjelder Babuk, ble dekrypteringen aktivert av en kildekodedump i september. Det er verdt å merke seg at eventuelle krypteringer utført av Babuk etter kildekodedumpen kan sannsynligvis ikke dekrypteres av verktøyet. Dette er fordi hovednøkkelen er endret etter lekkasje i dumpen,” forklarte Williams.
På spørsmål om hvilken nylig dekryptering ville være den mest konsekvensmessige, sa Williams at det uten tvil ville være Babuk.
“Dette ble ikke aktivert av noen kryptografiske svakheter og krevde i stedet en lekkasje. Det faktum at ransomware-kildekoden i det hele tatt lekket, skaper sannsynligvis angst i ransomware-operatørfellesskapet, som de siste månedene også har sett lekkasje av Conti ransomware-tilknyttet selskap. håndbok og vellykket rettshåndhevelsesaksjon mot REvil,” sa Williams til ZDNet.
I likhet med Digital Shadows' Ivan Righi, sa andre eksperter at malware-analytikere forbedrer og utnytter feil eller svakheter i trusselaktørenes krypteringsprosesser.
Ransomware har vært et stort fokus for mange sikkerhetsteam i 2020 og 2021, og jo mer ressurser som investeres i å bekjempe løsepengevare, jo mindre er rommet for feil fra en nettkriminells perspektiv, sa Righi.
I løpet av de siste årene har rikdommen hentet inn av visse løsepengevaregjenger tiltrukket seg flere trusselaktører, hvorav noen ikke er like sofistikerte som andre.
“Som antall løsepengeprogrammer varianter fortsetter å hope seg opp, det er ingen overraskelse at vi vil begynne å finne svakheter i noen av disse løsepengevarevariantene, som kan tillate at dekrypteringsnøkler kan trekkes ut,” sa Righi.
Av alle dekrypteringene som ble utgitt i løpet av de siste månedene, skilte den universelle dekrypteringsenheten seg for ofre for Kaseya VSA-forsyningskjedeangrepet seg mest ut for Righi.
Utgitt i september av Bitdefender, fungerer den universelle dekrypteringsenheten kun for REvil /Sodinokibi-ofre smittet før 13. juli 2021. Hundrevis av ofre ble hjulpet med dekrypteringen etter at gruppen ble mørkt igjen forrige måned. Det ble senere avslørt at polititjenestemenn fra flere land var involvert i å forstyrre REvil-ransomware-gjengen.
Men Righi bemerket at bare fordi en dekryptering er utgitt, betyr det ikke at en løsepengevaregjeng nødvendigvis er ferdig.
“Utgivelsen av en dekryptering for en løsepengevarevariant betyr ikke slutten på den løsepengevaregruppen. DarkSide hadde en dekryptering utgitt i januar 2021, men gruppen forbedret ganske enkelt verktøyene sine og fortsatte angrep frem til mai 2021, da Colonial Pipeline-angrepet skjedde,” sa Righi. “Imidlertid kan utgivelsen av dekrypteringer skade en gruppes omdømme og evne til å tiltrekke seg nye tilknyttede selskaper.”
Sikkerhet
Signal avslører hvor langt amerikansk rettshåndhevelse vil gå for å få folks informasjon Microsoft: MacOS-feil kunne ha latt angripere installere uoppdagelig skadelig programvare Google fikser to alvorlige nulldagersfeil i Chrome. Politiet stikker mål mistenkte bak 1800 angrep som 'skapte kaos over hele verden' Dette monsteret av en phishing-kampanje er ute etter passordene dine Cybersecurity 101 : Beskytt personvernet ditt mot hackere, spioner, regjeringen | Sikkerhets-TV | Databehandling | CXO | Datasentre