Connect with us

Deutsch

Diese Ransomware-Kriminellen verloren Millionen von Dollar an Zahlungen, als Forscher heimlich Fehler in ihrem Code fanden

Published

on

Eine große Ransomware-Operation wurde daran gehindert, Millionen von Dollar zu verdienen, nachdem Cybersicherheitsforscher einen Fehler in der Ransomware entdeckten, der es ermöglichte, verschlüsselte Dateien wiederherzustellen, ohne dass Cyberkriminelle ein Lösegeld zahlen mussten.

Cybersicherheitsforscher von Emsisoft haben detailliert beschrieben, wie es ihnen gelungen ist, die Cyberkriminellen hinter der BlackMatter-Ransomware heimlich zu vereiteln und mehreren Opfern die Zahlung des Lösegelds zu ersparen.

Nachdem sie ihre Aktivitäten unter Verschluss gehalten haben, um zu verhindern, dass die Cyberkriminellen es herausfinden, haben die Forscher nun enthüllt, wie sie BlackMatter untergraben haben, indem sie den Opfern ihrer Angriffe Entschlüsselungsschlüssel zur Verfügung gestellt haben.

BlackMatter ist in seiner aktuellen Version seit Juli dieses Jahres aktiv, aber tatsächlich schon viel länger, da der Konsens unter Informationssicherheitsanalysten darin besteht, dass BlackMatter eine umbenannte Version der DarkSide-Ransomware ist.

DarkSide wurde Anfang des Jahres als Schuldige hinter dem Ransomware-Angriff Colonial Pipeline berüchtigt. Der Vorfall führte zu Gas- und Treibstoffknappheit an der Nordostküste der USA, während die Kriminellen mit Millionen von Dollar davonkamen, als Colonial das Lösegeld zahlte.

Die Auswirkungen des Angriffs blieben jedoch nicht unbemerkt und kurz nachdem das Weiße Haus Maßnahmen gegen die Verantwortlichen versprochen hatte, verlor DarkSide die Kontrolle über einen Teil ihrer kritischen Infrastruktur und einige ihrer Bitcoin-Wallets wurden beschlagnahmt. Die Gruppe schien danach dunkel zu werden.

DarkSide tauchte jedoch bald als BlackMatter wieder auf, und die Cyberkriminellen dahinter scheinen sich nicht davon abhalten zu lassen, sich im Visier der US-Regierung zu befinden. Sie haben eine Reihe von Ransomware-Angriffen gegen Unternehmen in Nordamerika gestartet.

Beiträge von BlackMatter in Untergrundforen, in denen der Zugang zu kompromittierten Netzwerken in den USA, Kanada, Großbritannien und Australien angeboten wurde, behaupteten, dass BlackMatter nicht gegen Krankenhäuser oder staatliche Institutionen vorgehen würde. Doch das stimmte nicht, und neben kritischer Infrastruktur in Form mehrerer Agrarunternehmen hat der Konzern auch Bluttesteinrichtungen angegriffen.

SEHEN: Eine erfolgreiche Strategie für Cybersicherheit (ZDNet-Sonderbericht)

“Die Behauptung der Bande, Angriffe auf die kritische Infrastruktur und bestimmte andere Sektoren seien leer: Sie griff genau die Organisationen an, von denen sie sagte, dass sie dies nicht tun würde”, sagte Brett Callow, Bedrohungsanalyst bei Emsisoft gegenüber ZDNet.

“Warum haben sie die Behauptung also überhaupt erhoben? Es könnte ein Versuch gewesen sein, die sofortige Aufmerksamkeit der Strafverfolgungsbehörden nach dem Vorfall in der Colonial Pipeline zu vermeiden, oder vielleicht glaubten sie, dass Unternehmen eher zu Verhandlungen neigen würden.” wenn sie nicht wie Schläger aussahen, die Krankenhäuser angegriffen haben”.

Im Dezember letzten Jahres bemerkten Emsisoft-Forscher einen Fehler der DarkSide-Betreiber, der die Entschlüsselung von Daten ermöglichte, die mit der Windows-Version der Ransomware verschlüsselt wurden, ohne dass ein Lösegeld gezahlt werden musste – obwohl die Kriminellen dies im Januar behoben hatten.

Es stellt sich jedoch heraus, dass die Ransomware-Gruppe bei der Umbenennung erneut einen ähnlichen Fehler gemacht hat, und die Forscher entdeckten einen Fehler in der BlackMatter-Ransomware-Nutzlast, der es den Opfern ermöglichte, Dateien wiederherzustellen, ohne das Lösegeld zu zahlen.

Nachdem Emsisoft die zweite Schwachstelle aufgedeckt hatte, arbeitete Emsisoft mit anderen zusammen, um so vielen BlackMatter-Opfern wie möglich den Entschlüsselungsschlüssel zur Verfügung zu stellen, bevor sie das Lösegeld zahlten.

Leider stellte BlackMatter schließlich fest, dass etwas nicht stimmte und schloss die Lücke.

“BlackMatter wird wahrscheinlich vermutet haben, dass etwas nicht stimmte, als ihre Einnahmen zu sinken begannen, und wird misstrauischer werden, je länger es dauerte. Leider ist es unvermeidlich, dass Gangs erkennen, dass sie in diesen Situationen ein Problem haben. Alles, was wir tun können, ist zu arbeiten.” schnell und leise, um so vielen Opfern wie möglich zu helfen, solange die Gelegenheit dazu besteht”, sagte Callow.

„Diese Bemühungen zeigen, wie wichtig die Zusammenarbeit zwischen dem öffentlich-privaten Sektor ist. Durch unsere Zusammenarbeit können wir die Rentabilität der Cyberkriminalität erheblich senken, und das ist ein Schlüsselelement bei der Bekämpfung des Ransomware-Problems“, fügte er hinzu.

Ransomware bleibt ein großes Problem der Informationssicherheit und der beste Weg, um nicht auf Angriffe reagieren zu müssen, besteht darin, erst gar nicht zum Opfer zu werden. Cybersicherheitsstrategien wie das rechtzeitige Anwenden von Sicherheitspatches, das Sicherstellen der Multi-Faktor-Authentifizierung im gesamten Netzwerk und das Gewähren von Benutzern nur den Zugriff, den sie benötigen – zum Beispiel indem keine Administratorrechte an Personen vergeben werden, die sie nicht benötigen – – können alle dazu beitragen, Ransomware-Angriffe zu verhindern.

Was BlackMatter angeht, ist es wahrscheinlich, dass sie weitermachen – aber ihre Fehler haben möglicherweise ihren Ruf in Cyberkriminellenkreisen beschädigt.

„Es würde mich nicht wundern, wenn die Betreiber den Namen BlackMatter aufgeben und umbenennen würden. Ihr Ruf wird auf der Toilette sein. Ihre wiederholten Fehler haben die Partner Geld gekostet. Eine Menge Geld“, sagte Callow.

MEHR ZU CYBERSICHERHEIT

Continue Reading

Copyright © 2021 Meta Mag Inc.