image

Kwetsbaarheid in BlackMatter-ransomware maakt ontsleutelen data mogelijk

maandag 25 oktober 2021, 13:53 door Redactie, 2 reacties

Een kwetsbaarheid in de BlackMatter-ransomware maakt het mogelijk om data van slachtoffers kosteloos te ontsleutelen en antivirusbedrijf Emsisoft heeft hier de afgelopen maanden gebruik van gemaakt om getroffen bedrijven te helpen. Volgens Emsisoft is de BlackMatter-ransomware een voortzetting van de DarkSide-ransomware die eerder dit jaar wereldnieuws werd vanwege de aanval op de Colonial Pipeline.

De aanval zorgde onder andere voor brandstoftekorten in de Verenigde Staten. Colonial Pipeline betaalde 4,4 miljoen dollar in bitcoin om weer toegang tot versleutelde bestanden te krijgen. Een groot deel van het losgeld werd op een nog onbekende manier door de FBI in beslag genomen. Eind juli ging de DarkSide-groep offline. Op 27 juli verscheen opeens de BlackMatter-groep online.

Uit onderzoek van de BlackMatter-ransomware bleek dat die nagenoeg gelijk was aan de DarkSide-ransomware. Onderzoekers van Emsisoft ontdekten vorig jaar december een kwetsbaarheid in de DarkSide-ransomware waardoor ze zonder te betalen data konden ontsleutelen. De kwetsbaarheid werd op 12 januari van dit jaar door de groep verholpen.

In een versie van de BlackMatter-ransomware vonden de onderzoekers ook een kwetsbaarheid waardoor decryptie van bestanden kosteloos mogelijk is. Vervolgens waarschuwde het antivirusbedrijf opsporingsdiensten, computer emergency response teams (CERTs) en sectorpartners in verschillende landen om zo BlackMatter-slachtoffers te helpen. Emsisoft zegt dat het "tal van" slachtoffers zo met een decryptietool heeft kunnen helpen, maar noemt geen exact aantal.

Net als veel andere ransomwaregroepen gebruikte BlackMatter een website waarop het slachtoffers vermeldde en dreigde met het publiceren van hun data als er geen losgeld werd betaald. De groep besloot in september deze website offline te halen, waardoor Emsisoft slachtoffers niet meer met de decryptietool kon benaderen. Daarnaast bracht de groep een update van de ransomware uit, waarmee de kwetsbaarheid voor het ontsleutelen van data werd verholpen. Aanleiding voor Emsisoft om nu in de openbaarheid te treden en eerdere slachtoffers van de ransomware te laten weten dat hun bestanden zijn te ontsleutelen.

Reacties (2)
25-10-2021, 21:52 door Anoniem
Welk nummer heeft deze kwetsbaarheid in de cve-database gekregen? Ik kan deze even niet vinden
27-10-2021, 13:15 door Anoniem
Door Anoniem: Welk nummer heeft deze kwetsbaarheid in de cve-database gekregen? Ik kan deze even niet vinden

Er moet toch een CVE te vinden zijn, zo niet dan is dat onbegrijpelijk, als het al geen (nieuwe vorm) van discriminatie is.
Hoe lang heb je gezocht? Probeer anders eens del :\C (of mischien rd ~/home?) Blijf proberen, geef niet op ;-)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.