Wer in den letzten Monaten eine Erpresserbotschaft der "BlackMatter"-Gang auf seinen Systemen entdeckt hat, kann jetzt auf Hilfe hoffen.
Einem Forscherteam von Emsisoft ist es gelungen, eine Entschlüsselungsfunktion für einige Varianten der Ransomware "BlackMatter" zu entwickeln. Opfer können sich direkt an die Forscher wenden, um bestenfalls Hilfe bei der Wiederherstellung ihrer Daten zu erhalten. Es gibt allerdings Einschränkungen – die Kriminellen haben den entscheidenden Bug in den Verschlüsselungsroutinen des Schadcodes vor einigen Wochen nämlich auch selbst entdeckt und behoben. Die Gang ist mit neuen, "abgesicherten" BlackMatter-Varianten unverändert aktiv.
Nachdem der Bugfix der Gang diese Möglichkeit der Hilfe zunichtemachte, habe das Team es als sicher erachtet, die Operation im Blogeintrag nachträglich publik zu machen. Man wolle auf diese Weise auch bislang nicht erreichbaren Opfern die Möglichkeit der
Emsisoft, aber auch ein aktueller
Quelle: heise
Einem Forscherteam von Emsisoft ist es gelungen, eine Entschlüsselungsfunktion für einige Varianten der Ransomware "BlackMatter" zu entwickeln. Opfer können sich direkt an die Forscher wenden, um bestenfalls Hilfe bei der Wiederherstellung ihrer Daten zu erhalten. Es gibt allerdings Einschränkungen – die Kriminellen haben den entscheidenden Bug in den Verschlüsselungsroutinen des Schadcodes vor einigen Wochen nämlich auch selbst entdeckt und behoben. Die Gang ist mit neuen, "abgesicherten" BlackMatter-Varianten unverändert aktiv.
Heimliche Hilfe über Monate hinweg
Wie aus einem aktuellenDu musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
und einem Online-Artikel der New York Times hervorgeht, hatten die Sicherheitsforscher den Bug im BlackMatter-Code, der ihnen die Entschlüsselung ermöglichte, im Spätsommer dieses Jahres entdeckt: Er hatte sich mit einem Update eingeschlichen. Heimlich hätten die Forscher Opfern über mehrere Monate hinweg geholfen, ihre Dateien ohne Lösegeldzahlung wiederherzustellen und dadurch verhindert, dass Millionen von US-Dollar in die Hände der Gang fielen. Dabei hätten die US-Behörde CISA sowie Strafverfolgungsbehörden, CERTs und Unternehmen aus verschiedenen Ländern dabei geholfen, den Kontakt zwischen Forschern und Betroffenen herzustellen.Nachdem der Bugfix der Gang diese Möglichkeit der Hilfe zunichtemachte, habe das Team es als sicher erachtet, die Operation im Blogeintrag nachträglich publik zu machen. Man wolle auf diese Weise auch bislang nicht erreichbaren Opfern die Möglichkeit der
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
geben.Ransomware-as-a-Service "mit Tradition"
BlackMatter fußt auf einem Ransomware-as-a-Service (RaaS)-Modell, bei dem der "harte Kern" der Gang von den Erlösen seiner Affiliates profitiert. Ziel der Angriffe sind vor allem große Unternehmen, wobei das Regelwerk auf der Leak-Website unter anderem den Bereich Kritische Infrastrukturen, Rüstungsindustrie, Non-Profit-Organisationen und Krankenhäuser ausdrücklich als Angriffsziele ausklammert. Derlei kennt man allerdings schon aus der Vergangenheit von anderenDu musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
.Emsisoft, aber auch ein aktueller
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
sehen in BlackMatter einen direkten Nachfolger beziehungweise ein "Rebranding" des Ransomware-Partnerprogramms DarkSide, das für den
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
verantwortlich war. Das DarkSide-Team hatte damals die Kontrolle über einen Teil seiner Infrastruktur an Strafverfolgungsbehörden verloren und war letztlich mit kalten Füßen von der Bildfläche verschwunden. DarkSide besaß nach Einschätzung vieler Sicherheitsforscher übrigens auch enge Verbindungen zur berüchtigten
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
.Quelle: heise