[[432362]]

網絡安全研究人員發現了勒索軟件中的漏洞，不用向網絡犯罪團伙支付贖金就可以恢復遭加密的文件，打破重大勒索軟件攻擊行動攫取數百萬美元贖金的期望。

Emsisoft的網絡安全研究人員詳細描述了他們挫敗BlackMatter勒索軟件，為數家受害公司省下贖金支出的全過程。

此前，研究人員一直低調處理以免網絡犯罪團伙察覺;如今，他們發布文章揭示自己是怎么通過向受害者提供解密密鑰來挫敗BlackMatter的。

自今年7月以來，BlackMatter就一直以當前樣態頻頻出擊，但實際上，這款勒索軟件存在的時間遠早于此。因為信息安全分析師已達成共識：BlackMatter就是DarkSide勒索軟件的改名版，不過是新瓶裝舊酒。

由于是Colonial Pipeline勒索軟件攻擊背后的罪魁禍首，DarkSide在今年早些時候臭名昭著。這起事件導致美國東北部沿海地區天然氣和燃料短缺，而其背后的網絡犯罪團伙卻卷走了Colonial數百萬美元贖金。

不過，這起攻擊事件留下了不容忽視的影響，并且就在白宮誓言要打擊其背后的責任人后不久，DarkSide便失去了對其部分關鍵基礎設施的控制，他們的一些比特幣錢包也被抄沒了。此后，該團伙似乎銷聲匿跡了。

然而，DarkSide不久便以BlackMatter之名重出江湖，其背后的網絡犯罪團伙似乎并沒有因為被美國政府盯上就有所收斂。他們已經對北美的企業發起了一系列勒索軟件攻擊。

在地下論壇上，BlackMatter發布帖子提供購買美國、加拿大、英國和澳大利亞受感染網絡的訪問權限，并聲稱不會攻擊醫院或國家機構。但真實情況并非如此，除了幾家農業公司的關鍵基礎設施遭攻擊，該團伙還襲擊了血液檢測機構。

Emsisoft威脅分析師Brett Callow向媒體透露：“該團伙聲稱沒有攻擊關鍵基礎設施和某些其他部門，但正是這些他們聲稱不會攻擊的組織和機構遭到了襲擊。”

“那他們一開始號稱不會攻擊這些行業是為什么呢?或許是試圖在Colonial Pipeline事件余波未平時避免馬上引起執法機構的注意，又或者，他們覺得只要自己看上去不像襲擊醫院的暴徒，受害公司就更傾向于協商贖金。”

去年12月，Emsisoft研究人員注意到DarkSide運營商犯了一個錯誤，由于這個漏洞，該勒索軟件Windows版所加密的數據可以在無需支付贖金的情況下解密——盡管這個漏洞在1月份就被修復了。

然而，事實證明，這個勒索軟件團伙在換個名字重出江湖時再次犯了類似的錯誤，研究人員發現了BlackMatter勒索軟件有效載荷中存在缺陷，利用這個缺陷，受害者可以在不支付贖金的情況下恢復文件。

發現這第二個漏洞后，Emsisoft與其他人合作，盡量在BlackMatter受害者支付贖金之前為其提供解密密鑰。此舉阻止了網絡犯罪團伙將成百上千萬美元收入囊中。

但遺憾的是，BlackMatter最終還是發現了問題，并堵上了這個漏洞。

“當收入開始下降時，BlackMatter背后的團伙可能就懷疑有什么不對勁了，并且隨著時間的推移，情況會變得更加可疑。不幸的是，在這種情況下，網絡犯罪團伙難免會發覺自己遇到了問題。我們所能做的只有快速行動，在機會窗口仍然存在的時候悄悄幫助盡可能多的受害者。”

“這一工作展現了公營-私營部門合作的重要性。通過合作，我們可以大大降低網絡犯罪的盈利能力，這是應對勒索軟件問題的關鍵因素。”

勒索軟件仍然是一個重大信息安全問題，避免不得不響應攻擊的最佳方法，是一開始就不成為受害者。及時應用安全補丁、確保在整個網絡中應用多因素身份驗證，以及僅為用戶提供所需最小訪問權限(例如非必要不授予管理員權限)等網絡安全策略，都可以幫助防止勒索軟件攻擊。

至于BlackMatter，這伙網絡罪犯很可能會繼續作惡，但他們的失誤可能已經損害了其在網絡犯罪圈中的聲譽。

“如果他們拋棄BlackMatter的名號換個名字再來，我一點都不會感到驚訝。他們的名聲會臭掉。同樣的錯誤一犯再犯讓下游黑客損失了金錢。大量金錢。”

Emsisoft破解BlackMatter全過程：https://blog.emsisoft.com/en/39181/on-the-matter-of-blackmatter/