《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > 勒索軟件也有漏洞 因漏洞失去數(shù)百萬贖金收入

勒索軟件也有漏洞 因漏洞失去數(shù)百萬贖金收入

2021-11-02
來源:安全圈
關(guān)鍵詞: 勒索軟件漏洞

  關(guān)鍵詞 勒索軟件漏洞

  網(wǎng)絡(luò)安全研究人員發(fā)現(xiàn)了勒索軟件中的漏洞,不用向網(wǎng)絡(luò)犯罪團(tuán)伙支付贖金就可以恢復(fù)遭加密的文件,打破重大勒索軟件攻擊行動攫取數(shù)百萬美元贖金的期望。

  Emsisoft的網(wǎng)絡(luò)安全研究人員詳細(xì)描述了他們挫敗BlackMatter勒索軟件,為數(shù)家受害公司省下贖金支出的全過程。

  此前,研究人員一直低調(diào)處理以免網(wǎng)絡(luò)犯罪團(tuán)伙察覺;如今,他們發(fā)布文章揭示自己是怎么通過向受害者提供解密密鑰來挫敗BlackMatter的。

  自今年7月以來,BlackMatter就一直以當(dāng)前樣態(tài)頻頻出擊,但實(shí)際上,這款勒索軟件存在的時(shí)間遠(yuǎn)早于此。因?yàn)樾畔踩治鰩熞堰_(dá)成共識:BlackMatter就是DarkSide勒索軟件的改名版,不過是新瓶裝舊酒。

  由于是Colonial Pipeline勒索軟件攻擊背后的罪魁禍?zhǔn)?,DarkSide在今年早些時(shí)候臭名昭著。這起事件導(dǎo)致美國東北部沿海地區(qū)天然氣和燃料短缺,而其背后的網(wǎng)絡(luò)犯罪團(tuán)伙卻卷走了Colonial數(shù)百萬美元贖金。

  不過,這起攻擊事件留下了不容忽視的影響,并且就在白宮誓言要打擊其背后的責(zé)任人后不久,DarkSide便失去了對其部分關(guān)鍵基礎(chǔ)設(shè)施的控制,他們的一些比特幣錢包也被抄沒了。此后,該團(tuán)伙似乎銷聲匿跡了。

  然而,DarkSide不久便以BlackMatter之名重出江湖,其背后的網(wǎng)絡(luò)犯罪團(tuán)伙似乎并沒有因?yàn)楸幻绹⑸暇陀兴諗?。他們已?jīng)對北美的企業(yè)發(fā)起了一系列勒索軟件攻擊。

  在地下論壇上,BlackMatter發(fā)布帖子提供購買美國、加拿大、英國和澳大利亞受感染網(wǎng)絡(luò)的訪問權(quán)限,并聲稱不會攻擊醫(yī)院或國家機(jī)構(gòu)。但真實(shí)情況并非如此,除了幾家農(nóng)業(yè)公司的關(guān)鍵基礎(chǔ)設(shè)施遭攻擊,該團(tuán)伙還襲擊了血液檢測機(jī)構(gòu)。

  Emsisoft威脅分析師Brett Callow向媒體透露:“該團(tuán)伙聲稱沒有攻擊關(guān)鍵基礎(chǔ)設(shè)施和某些其他部門,但正是這些他們聲稱不會攻擊的組織和機(jī)構(gòu)遭到了襲擊。”

  “那他們一開始號稱不會攻擊這些行業(yè)是為什么呢?或許是試圖在Colonial Pipeline事件余波未平時(shí)避免馬上引起執(zhí)法機(jī)構(gòu)的注意,又或者,他們覺得只要自己看上去不像襲擊醫(yī)院的暴徒,受害公司就更傾向于協(xié)商贖金?!?/p>

  去年12月,Emsisoft研究人員注意到DarkSide運(yùn)營商犯了一個(gè)錯(cuò)誤,由于這個(gè)漏洞,該勒索軟件Windows版所加密的數(shù)據(jù)可以在無需支付贖金的情況下解密——盡管這個(gè)漏洞在1月份就被修復(fù)了。

  然而,事實(shí)證明,這個(gè)勒索軟件團(tuán)伙在換個(gè)名字重出江湖時(shí)再次犯了類似的錯(cuò)誤,研究人員發(fā)現(xiàn)了BlackMatter勒索軟件有效載荷中存在缺陷,利用這個(gè)缺陷,受害者可以在不支付贖金的情況下恢復(fù)文件。

  發(fā)現(xiàn)這第二個(gè)漏洞后,Emsisoft與其他人合作,盡量在BlackMatter受害者支付贖金之前為其提供解密密鑰。此舉阻止了網(wǎng)絡(luò)犯罪團(tuán)伙將成百上千萬美元收入囊中。

  但遺憾的是,BlackMatter最終還是發(fā)現(xiàn)了問題,并堵上了這個(gè)漏洞。

  “當(dāng)收入開始下降時(shí),BlackMatter背后的團(tuán)伙可能就懷疑有什么不對勁了,并且隨著時(shí)間的推移,情況會變得更加可疑。不幸的是,在這種情況下,網(wǎng)絡(luò)犯罪團(tuán)伙難免會發(fā)覺自己遇到了問題。我們所能做的只有快速行動,在機(jī)會窗口仍然存在的時(shí)候悄悄幫助盡可能多的受害者。”

  “這一工作展現(xiàn)了公營-私營部門合作的重要性。通過合作,我們可以大大降低網(wǎng)絡(luò)犯罪的盈利能力,這是應(yīng)對勒索軟件問題的關(guān)鍵因素?!?/p>

  勒索軟件仍然是一個(gè)重大信息安全問題,避免不得不響應(yīng)攻擊的最佳方法,是一開始就不成為受害者。及時(shí)應(yīng)用安全補(bǔ)丁、確保在整個(gè)網(wǎng)絡(luò)中應(yīng)用多因素身份驗(yàn)證,以及僅為用戶提供所需最小訪問權(quán)限(例如非必要不授予管理員權(quán)限)等網(wǎng)絡(luò)安全策略,都可以幫助防止勒索軟件攻擊。

  至于BlackMatter,這伙網(wǎng)絡(luò)罪犯很可能會繼續(xù)作惡,但他們的失誤可能已經(jīng)損害了其在網(wǎng)絡(luò)犯罪圈中的聲譽(yù)。

  “如果他們拋棄BlackMatter的名號換個(gè)名字再來,我一點(diǎn)都不會感到驚訝。他們的名聲會臭掉。同樣的錯(cuò)誤一犯再犯讓下游黑客損失了金錢。大量金錢?!?/p>




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問題,請及時(shí)通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。