Η εταιρεία κυβερνοασφάλειας Emsisoft βοηθά τα θύματα του BlackMatter ransomware, παρέχοντάς τους ένα εργαλείο αποκρυπτογράφησης. Αυτό έχει ήδη ξεκινήσει από το καλοκαίρι και έχει αποτρέψει την πληρωμή εκατομμυρίων δολαρίων στους εγκληματίες του κυβερνοχώρου.
Η Emsisoft και ο CTO της, Fabian Wosar, βοηθούν τα θύματα ransomware να ανακτήσουν τα αρχεία τους από το 2012, όταν είχε εμφανιστεί το ACCDFISA, ως το πρώτο σύγχρονο ransomware.
Δείτε επίσης: FBI, CISA και NSA εκδίδουν συμβουλές για επιθέσεις BlackMatter ransomware
Από τότε ο Wosar και άλλοι ερευνητές προσπαθούν να βρουν σφάλματα στους αλγόριθμους κρυπτογράφησης των ransomware, έτσι ώστε να μπορούν να δημιουργήσουν εργαλεία αποκρυπτογράφησης για τα θύματα.
Ωστόσο, η Emsisoft λειτουργεί μυστικά, ώστε οι ransomware συμμορίες να μην αντιλαμβάνονται την ύπαρξη των σφαλμάτων στους αλγορίθμους τους. Η εταιρεία ασφαλείας δεν κάνει δημόσιες ανακοινώσεις, αλλά συνεργάζεται αθόρυβα με αξιόπιστους συνεργάτες στις αρχές επιβολής του νόμου και βοηθά τα θύματα.
Η Emsisoft έχει δημιουργήσει ένα μυστικό εργαλείο αποκρυπτογράφησης για το BlackMatter ransomware
Λίγο μετά την έναρξη της λειτουργίας του BlackMatter ransomware, η Emsisoft ανακάλυψε ένα σφάλμα που της επέτρεπε να δημιουργήσει ένα εργαλείο αποκρυπτογράφησης, ώστε να μπορούν τα θύματα να ανακτήσουν τα αρχεία, χωρίς να πληρώσουν λύτρα στους εγκληματίες.
Η Emsisoft ειδοποίησε αμέσως τις αρχές επιβολής του νόμου, τις εταιρείες διαπραγματεύσεων ransomware, τις εταιρείες αντιμετώπισης περιστατικών, τα CERTS και άλλους έμπιστους συνεργάτες και τους ενημέρωσε για το εργαλείο αποκρυπτογράφησης για το BlackMatter ransomware.
Χάρη σε αυτή την ειδοποίηση, οι συνεργάτες μπόρεσαν να παραπέμψουν τα θύματα του BlackMatter στην Emsisoft για να ανακτήσουν τα αρχεία τους χωρίς να πληρώσουν λύτρα.
“Από τότε, είμαστε απασχολημένοι βοηθώντας τα θύματα του BlackMatter ransomware να ανακτήσουν τα δεδομένα τους. Με τη βοήθεια των υπηρεσιών επιβολής του νόμου, των CERT και συνεργατών του ιδιωτικού τομέα σε πολλές χώρες, μπορέσαμε να προσεγγίσουμε πολλά θύματα, βοηθώντας τα να αποφύγουν πληρωμές δεκάδων εκατομμυρίων δολαρίων“, εξηγεί ο Wosar.
Δείτε επίσης: BlackMatter ransomware: Ζητά 5.9 εκατομμύρια από αγροτικό συνεταιρισμό
Επιπλέον, η Emsisoft επικοινωνούσε με θύματα που ανέβαζαν δείγματα του ransomware σε διάφορα sites. Έτσι κατάφερε να βοηθήσει έναν μεγάλο αριθμό θυμάτων.
“Πολεμάμε το ransomware για περισσότερα από δέκα χρόνια, επομένως κατανοούμε την απογοήτευση που νιώθει η κοινότητα του infosec απέναντι στους παράγοντες απειλών ransomware“, μοιράστηκε ο Wosar.
Ωστόσο, οι ερευνητές αρχικά μπορούσαν να παραβιάσουν τις συνομιλίες διαπραγμάτευσης μεταξύ hackers και θυμάτων μέσω των δειγμάτων και των ransomware notes που δημοσιεύονταν. Κι έτσι μπορούσαν να επικοινωνήσουν με θύματα για να τους πουν να μην πληρώσουν τα λύτρα.
Καθώς τα θύματα άρχισαν να αρνούνται να πληρώσουν, το BlackMatter έγινε όλο και πιο καχύποπτο και έκλεισε την πλατφόρμα του, ώστε μόνο το θύμα να έχει πρόσβαση στο site για τις διαπραγματεύσεις.
Επιπλέον, οι εγκληματίες άρχισαν να πιέζουν περισσότερο τα θύματα και τους διαπραγματευτές. Ένας διαπραγματευτής είπε στο BleepingComputer ότι άρχισε να δέχεται απειλές θανάτου από τη συμμορία BlackMatter, αφού κανένα από τα θύματα μιας επίθεσης δεν πλήρωσε λύτρα.
Δυστυχώς, η ransomware συμμορία BlackMatter έμαθε για το εργαλείο αποκρυπτογράφησης στα τέλη Σεπτεμβρίου και κατάφερε να διορθώσει τα σφάλματα που επέτρεπαν στην Emsisoft να ανακτήσει τα αρχεία των θυμάτων.
Δείτε επίσης: Τα data Ιταλών διασημοτήτων εκτέθηκαν σε επίθεση ransomware στη SIAE
Τα θύματα που επηρεάστηκαν από τις ransomware επιθέσεις πριν από τα τέλη Σεπτεμβρίου, μπορούν ακόμα να χρησιμοποιήσουν το εργαλείο αποκρυπτογράφησης για να γλιτώσουν τα λύτρα.
Όσοι έχουν επηρεαστεί από το BlackMatter ransomware μετά τη διόρθωση του σφάλματος δεν μπορούν πλέον να βοηθηθούν, αλλά η Emsisoft προτείνει να απευθυνθούν σε αυτή για να δουν αν μπορούν να βοηθήσουν με κάποιο τρόπο.
Η Emsisoft έχει βρει ευπάθειες σε περίπου δώδεκα ενεργές επιχειρήσεις ransomware, οι οποίες μπορούν να χρησιμοποιηθούν για την ανάκτηση κρυπτογραφημένων δεδομένων των θυμάτων χωρίς πληρωμή λύτρων.
Η εταιρεία ασφαλείας συμβουλεύει τα θύματα να επικοινωνήσουν με τις αρχές επιβολής του νόμου για να αναφέρουν επιθέσεις, ώστε να ενημερώνεται και η Emsisoft και να ελέγχει αν υπάρχει διαθέσιμο εργαλείο αποκρυπτογράφησης.
Πηγή: Bleeping Computer