网络安全研究人员发现了勒索软件中的漏洞，不用向网络犯罪团伙支付赎金就可以恢复遭加密的文件，打破重大勒索软件攻击行动攫取数百万美元赎金的期望。

Emsisoft的网络安全研究人员详细描述了他们挫败BlackMatter勒索软件，为数家受害公司省下赎金支出的全过程。

此前，研究人员一直低调处理以免网络犯罪团伙察觉；如今，他们发布文章揭示自己是怎么通过向受害者提供解密密钥来挫败BlackMatter的。

自今年7月以来，BlackMatter就一直以当前样态频频出击，但实际上，这款勒索软件存在的时间远早于此。因为信息安全分析师已达成共识：BlackMatter就是DarkSide勒索软件的改名版，不过是新瓶装旧酒。

由于是Colonial Pipeline勒索软件攻击背后的罪魁祸首，DarkSide在今年早些时候臭名昭著。这起事件导致美国东北部沿海地区天然气和燃料短缺，而其背后的网络犯罪团伙却卷走了Colonial数百万美元赎金。

不过，这起攻击事件留下了不容忽视的影响，并且就在白宫誓言要打击其背后的责任人后不久，DarkSide便失去了对其部分关键基础设施的控制，他们的一些比特币钱包也被抄没了。此后，该团伙似乎销声匿迹了。

然而，DarkSide不久便以BlackMatter之名重出江湖，其背后的网络犯罪团伙似乎并没有因为被美国政府盯上就有所收敛。他们已经对北美的企业发起了一系列勒索软件攻击。

在地下论坛上，BlackMatter发布帖子提供购买美国、加拿大、英国和澳大利亚受感染网络的访问权限，并声称不会攻击医院或国家机构。但真实情况并非如此，除了几家农业公司的关键基础设施遭攻击，该团伙还袭击了血液检测机构。

Emsisoft威胁分析师Brett Callow向媒体透露：“该团伙声称没有攻击关键基础设施和某些其他部门，但正是这些他们声称不会攻击的组织和机构遭到了袭击。”

“那他们一开始号称不会攻击这些行业是为什么呢？或许是试图在Colonial Pipeline事件余波未平时避免马上引起执法机构的注意，又或者，他们觉得只要自己看上去不像袭击医院的暴徒，受害公司就更倾向于协商赎金。”

去年12月，Emsisoft研究人员注意到DarkSide运营商犯了一个错误，由于这个漏洞，该勒索软件Windows版所加密的数据可以在无需支付赎金的情况下解密——尽管这个漏洞在1月份就被修复了。

然而，事实证明，这个勒索软件团伙在换个名字重出江湖时再次犯了类似的错误，研究人员发现了BlackMatter勒索软件有效载荷中存在缺陷，利用这个缺陷，受害者可以在不支付赎金的情况下恢复文件。

发现这第二个漏洞后，Emsisoft与其他人合作，尽量在BlackMatter受害者支付赎金之前为其提供解密密钥。此举阻止了网络犯罪团伙将成百上千万美元收入囊中。

但遗憾的是，BlackMatter最终还是发现了问题，并堵上了这个漏洞。

“当收入开始下降时，BlackMatter背后的团伙可能就怀疑有什么不对劲了，并且随着时间的推移，情况会变得更加可疑。不幸的是，在这种情况下，网络犯罪团伙难免会发觉自己遇到了问题。我们所能做的只有快速行动，在机会窗口仍然存在的时候悄悄帮助尽可能多的受害者。”

“这一工作展现了公营-私营部门合作的重要性。通过合作，我们可以大大降低网络犯罪的盈利能力，这是应对勒索软件问题的关键因素。”

勒索软件仍然是一个重大信息安全问题，避免不得不响应攻击的最佳方法，是一开始就不成为受害者。及时应用安全补丁、确保在整个网络中应用多因素身份验证，以及仅为用户提供所需最小访问权限（例如非必要不授予管理员权限）等网络安全策略，都可以帮助防止勒索软件攻击。

至于BlackMatter，这伙网络罪犯很可能会继续作恶，但他们的失误可能已经损害了其在网络犯罪圈中的声誉。

“如果他们抛弃BlackMatter的名号换个名字再来，我一点都不会感到惊讶。他们的名声会臭掉。同样的错误一犯再犯让下游黑客损失了金钱。大量金钱。”

Emsisoft破解BlackMatter全过程：

https://blog.emsisoft.com/en/39181/on-the-matter-of-blackmatter/

来源:数世咨询