Een kwetsbaarheid in de BlackMatter-ransomware maakt het mogelijk om data van slachtoffers kosteloos te ontsleutelen en antivirusbedrijf Emsisoft heeft hier de afgelopen maanden gebruik van gemaakt om getroffen bedrijven te helpen. Volgens Emsisoft is de BlackMatter-ransomware een voortzetting van de DarkSide-ransomware die eerder dit jaar wereldnieuws werd vanwege de aanval op de Colonial Pipeline.
De aanval zorgde onder andere voor brandstoftekorten in de Verenigde Staten. Colonial Pipeline betaalde 4,4 miljoen dollar in bitcoin om weer toegang tot versleutelde bestanden te krijgen. Een groot deel van het losgeld werd op een nog onbekende manier door de FBI in beslag genomen. Eind juli ging de DarkSide-groep offline. Op 27 juli verscheen opeens de BlackMatter-groep online.
Uit onderzoek van de BlackMatter-ransomware bleek dat die nagenoeg gelijk was aan de DarkSide-ransomware. Onderzoekers van Emsisoft ontdekten vorig jaar december een kwetsbaarheid in de DarkSide-ransomware waardoor ze zonder te betalen data konden ontsleutelen. De kwetsbaarheid werd op 12 januari van dit jaar door de groep verholpen.
In een versie van de BlackMatter-ransomware vonden de onderzoekers ook een kwetsbaarheid waardoor decryptie van bestanden kosteloos mogelijk is. Vervolgens waarschuwde het antivirusbedrijf opsporingsdiensten, computer emergency response teams (CERTs) en sectorpartners in verschillende landen om zo BlackMatter-slachtoffers te helpen. Emsisoft zegt dat het "tal van" slachtoffers zo met een decryptietool heeft kunnen helpen, maar noemt geen exact aantal.
Net als veel andere ransomwaregroepen gebruikte BlackMatter een website waarop het slachtoffers vermeldde en dreigde met het publiceren van hun data als er geen losgeld werd betaald. De groep besloot in september deze website offline te halen, waardoor Emsisoft slachtoffers niet meer met de decryptietool kon benaderen. Daarnaast bracht de groep een update van de ransomware uit, waarmee de kwetsbaarheid voor het ontsleutelen van data werd verholpen. Aanleiding voor Emsisoft om nu in de openbaarheid te treden en eerdere slachtoffers van de ransomware te laten weten dat hun bestanden zijn te ontsleutelen.
Deze posting is gelocked. Reageren is niet meer mogelijk.