Einem Forscherteam von Emsisoft ist es gelungen, eine Entschlüsselungsfunktion für einige Varianten der Ransomware „BlackMatter“ zu entwickeln. Opfer können sich direkt an die Forscher wenden, um bestenfalls Hilfe bei der Wiederherstellung ihrer Daten zu erhalten. Es gibt allerdings Einschränkungen – die Kriminellen haben den entscheidenden Bug in den Verschlüsselungsroutinen des Schadcodes vor einigen Wochen nämlich auch selbst entdeckt und behoben. Die Gang ist mit neuen, „abgesicherten“ BlackMatter-Varianten unverändert aktiv. Wie aus einem aktuellen Blogeintrag des Emsisoft-Teams und einem Online-Artikel der New York Times hervorgeht, hatten die Sicherheitsforscher den Bug im BlackMatter-Code, der ihnen die Entschlüsselung ermöglichte, im Spätsommer dieses Jahres entdeckt: Er hatte sich mit einem Update eingeschlichen. Heimlich hätten die Forscher Opfern über mehrere Monate hinweg geholfen, ihre Dateien ohne Lösegeldzahlung wiederherzustellen und dadurch verhindert, dass Millionen von US-Dollar in die Hände der Gang fielen. Dabei hätten die US-Behörde CISA sowie Strafverfolgungsbehörden, CERTs und Unternehmen aus verschiedenen Ländern dabei geholfen, den Kontakt zwischen Forschern und Betroffenen herzustellen. Nachdem der Bugfix der Gang diese Möglichkeit der Hilfe zunichtemachte, habe das Team es als sicher erachtet, die Operation im Blogeintrag nachträglich publik zu machen. Man wolle auf diese Weise auch bislang nicht erreichbaren Opfern die Möglichkeit der Kontaktaufnahme zu Emsisoft geben. BlackMatter fußt auf einem Ransomware-as-a-Service (RaaS)-Modell, bei dem der „harte Kern“ der Gang von den Erlösen seiner Affiliates profitiert. Ziel der Angriffe sind vor allem große Unternehmen, wobei das Regelwerk auf der Leak-Website unter anderem den Bereich Kritische Infrastrukturen, Rüstungsindustrie, Non-Profit-Organisationen und Krankenhäuser ausdrücklich als Angriffsziele ausklammert. Derlei kennt man allerdings schon aus der Vergangenheit von anderen Ransomware-Gangs, die ihren Prinzipien letztlich doch untreu wurden. Emsisoft, aber auch ein aktueller Sicherheitshinweis der CISA sehen in BlackMatter einen direkten Nachfolger beziehungweise ein „Rebranding“ des Ransomware-Partnerprogramms DarkSide, das für den Ausfall der Colonial Pipeline in den USA im Mai 2021 verantwortlich war. Das DarkSide-Team hatte damals die Kontrolle über einen Teil seiner Infrastruktur an Strafverfolgungsbehörden verloren und war letztlich mit kalten Füßen von der Bildfläche verschwunden. DarkSide besaß nach Einschätzung vieler Sicherheitsforscher übrigens auch enge Verbindungen zur berüchtigten REvil-Gang, die derzeit offline ist.

Quelle: Heise