BlackMatter ransomware: onderzoekers bieden gratis decodering aan voor sommige varianten


Een onderzoeksteam van Emsisoft is erin geslaagd een decoderingsfunctie te ontwikkelen voor sommige varianten van de “BlackMatter”-ransomware. Slachtoffers kunnen rechtstreeks contact opnemen met de onderzoekers voor in het beste geval hulp bij het herstellen van hun gegevens. Er zijn echter beperkingen: de criminelen hebben een paar weken geleden zelf de cruciale bug in de versleutelingsroutines van de kwaadaardige code ontdekt en verholpen. De bende is nog steeds actief met nieuwe, “beveiligde” BlackMatter-varianten.

Zoals van een huidige Blogbericht van het Emsisoft-team en een online artikel in de New York Times laat zien dat de beveiligingsonderzoekers in de nazomer van dit jaar de bug in de BlackMatter-code ontdekten, waarmee ze konden ontsleutelen: die was binnengeslopen met een update. Gedurende enkele maanden hielpen de onderzoekers slachtoffers in het geheim hun bestanden te herstellen zonder losgeld te betalen, waardoor werd voorkomen dat miljoenen dollars in handen van de bende vielen. Het Amerikaanse agentschap CISA, wetshandhavingsinstanties, CERT’s en bedrijven uit verschillende landen hielpen bij het leggen van contact tussen onderzoekers en betrokkenen.

Nadat de bugfix van de bende deze mogelijkheid tot hulp had vernietigd, achtte het team het veilig om de operatie in de blogpost te plaatsen. Op deze manier willen zij slachtoffers die nog niet bereikt zijn de mogelijkheid geven om Contact opnemen met Emsisoft schenken.

BlackMatter is gebaseerd op een ransomware-as-a-service (RaaS)-model waarbij de “harde kern” van de bende profiteert van de inkomsten van zijn filialen. De aanvallen zijn primair gericht op grote bedrijven, waarbij de regels op de lekwebsite uitdrukkelijk de gebieden vitale infrastructuren, de defensie-industrie, non-profitorganisaties en ziekenhuizen als doelwit uitsluiten. Dit kennen we al van anderen in het verleden Ransomware-bendes die uiteindelijk hun principes hebben gebroken.

Emsisoft, maar ook een actuele Veiligheidsmededeling van CISA zie BlackMatter als een directe opvolger of liever een “rebranding” van het ransomware-partnerprogramma DarkSide, dat bedoeld is voor de Falen van de koloniale pijpleiding in de VS in mei 2021 was verantwoordelijk. Op dat moment had het DarkSide-team de controle over een deel van zijn infrastructuur verloren aan wetshandhavingsinstanties en was het uiteindelijk met koude voeten van het toneel verdwenen. Volgens veel beveiligingsonderzoekers had DarkSide ook nauwe banden met de beruchte REvil-bende die momenteel offline is.


(ovw)



Source link

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.

%d bloggers liken dit: