شرکت امنیت سایبری Emsisoft مستقر در نیوزلند بی سر و صدا به قربانیان باج افزار BlackMatter کمک می کند تا فایل های رمزگذاری شده را بازیابی کنند، از پرداخت “ده ها میلیون دلار” باج جلوگیری کرده و به طور بالقوه پایان BlackMatter را برای همیشه نشان می دهد.
BlackMatter ، جانشین عملیات باج افزار DarkSide مسئول حمله خط لوله استعمار ، برای اولین بار در ژوئیه سال جاری ظهور کرد و اخیراً به دلیل حملات “متعدد” به سازمانهایی که زیرساخت های حیاتی از جمله دو مورد در غذا و غذای ایالات متحده را هدف قرار می دهند ، مورد هشدار CISA قرار گرفت. بخش کشاورزی این باج افزار به عنوان یک سرویس خدمات نیز مسئول حمله اخیر به Olympus بود که غول فناوری ژاپنی را مجبور به تعطیلی عملیات EMEA خود کرد.
Emsisoft در اوایل سال جاری کشف کرد که مانند DarkSide ، که دارای نقصی در مکانیزم رمزگذاری بود که به Emsisoft امکان رمزگشایی فایل ها را می داد ، فرآیند رمزگذاری BlackMatter نیز دارای یک آسیب پذیری بود که به آن اجازه می داد بدون نیاز به پرداخت باج ، فایل های رمزگذاری شده را بازیابی کند. Emsisoft تا کنون وجود این نقص را فاش نکرده است، زیرا میترسد که گروه BlackMatter فوراً یک مشکل را حل کند.
فابیان ووسار ، مدیر ارشد فناوری Emsisoft ، فابیان ووسار ، می گوید: “با دانستن اشتباهات گذشته DarkSide ، ما تعجب کردیم وقتی BlackMatter تغییری در بار باج افزار خود ایجاد کرد که به ما امکان می داد یکبار دیگر داده های قربانیان را بدون نیاز به پرداخت باج بازیابی کنیم.”
پس از کشف این آسیبپذیری، Emsisoft به مجریان قانون، شرکتهای مذاکره کننده باجافزار، شرکتهای واکنش به حوادث، تیمهای ملی آمادگی اضطراری رایانه (CERT) و شرکای مورد اعتماد با اطلاعاتی درباره قابلیتهای رمزگشایی خود هشدار داد. این به این اشخاص قابل اعتماد اجازه داد تا قربانیان BlackMatter را به Emsisoft ارجاع دهند تا فایل های خود را بازیابی کنند نه باج.
از آن زمان، ما مشغول کمک به قربانیان BlackMatter برای بازیابی اطلاعات خود هستیم. ووسار گفت ، با کمک نهادهای مجری قانون ، CERT ها و شرکای بخش خصوصی در چندین کشور ، توانستیم به قربانیان متعددی برسیم و به آنها کمک کنیم از ده ها میلیون دلار از مطالبات خود جلوگیری کنند. Emsisoft همچنین با قربانیانی که از طریق نمونه های BlackMatter و یادداشت های باج به صورت عمومی در سایت های مختلف آپلود شده بودند، تماس گرفت.
اما ووسار گفت که یادداشت های باج که فاش شده یا در دسترس عموم قرار گرفته است این امکان را برای هر کسی فراهم می کند که با بازیگران تهدید ارتباط برقرار کند انگار آنها قربانی هستند. BlackMatter بعداً سایت خود را قفل کرد و جمعآوری اطلاعات حیاتی را برای محققان امنیتی و مجریان قانون بسیار دشوارتر کرد.
Emsisoft گفت که هنوز هم می تواند به قربانیان BlackMatter که قبل از پایان سپتامبر رمزگذاری شده اند کمک کند. برت کالو ، تحلیلگر تهدید در Emsisoft ، گفت که این کمپین رمزگشایی می تواند مرگ BlackMatter باشد.
او گفت: «این ممکن است پایان برند BlackMatter باشد. این دومین بار است که اشتباهات آنها هزینه ای را برای همکاران آنها به همراه داشته است و احتمالاً شرکت های وابسته از این موضوع چندان خوشحال نخواهند شد. متأسفانه ، حتی اگر نام تجاری به پایان برسد ، اپراتورها احتمالاً با یک نام تجاری جدید باز خواهند گشت. “
“در گذشته ، نسبت خطر/پاداش به شدت به” پاداش “متمایل بود. این تلاش نشان میدهد که همکاری بخش دولتی و خصوصی میتواند سر سوزن را تغییر دهد، و این یک عنصر کلیدی برای مبارزه با مشکل باجافزار است. کالو به TechCrunch گفت: هرچه سود کمتری داشته باشد، عوامل تهدید انگیزه کمتری دارند.
Emsisoft می گوید در حدود دوازده عملیات باج افزار فعال نیز آسیب پذیری پیدا کرده است. این شرکت به قربانیان باجافزار توصیه میکند که حملات را به مجریان قانون گزارش کنند، آنها میتوانند شاخصهای ارزشمندی از مصالحه را برای اهداف تحقیقاتی جمعآوری کنند و در صورت وجود ابزار رمزگشایی، قربانیان را به Emsisoft ارجاع دهند.