Ransomware BlackMatter : des chercheurs offrent un décryptage gratuit pour certaines variantes

Une équipe de chercheurs d’Emsisoft a réussi à développer une fonction de décryptage pour certaines variantes du ransomware « BlackMatter ». Les victimes peuvent contacter directement les chercheurs pour obtenir de l’aide afin de restaurer au mieux leurs données. Il y a toutefois des limites : les criminels ont en effet découvert et corrigé eux-mêmes, il y a quelques semaines, le bogue crucial dans les routines de cryptage du logiciel malveillant. Le gang est toujours actif avec de nouvelles variantes « sécurisées » de BlackMatter.

Selon un récent article de blog de l’équipe d’Emsisoft et un article en ligne du New York Times, les chercheurs en sécurité avaient découvert le bogue dans le code de BlackMatter qui leur a permis de le décrypter à la fin de l’été de cette année : il s’était glissé dans une mise à jour. Secrètement, pendant plusieurs mois, les chercheurs auraient aidé les victimes à récupérer leurs fichiers sans payer de rançon, évitant ainsi que des millions de dollars américains ne tombent entre les mains du gang. Au cours de ce processus, l’autorité américaine CISA ainsi que les services répressifs, les CERT et les entreprises de différents pays auraient contribué à établir le contact entre les chercheurs et les victimes.

Après que le correcteur de bogue de la bande ait détruit cette possibilité d’aide, l’équipe avait jugé prudent de rendre l’opération publique dans l’article de blog après coup. De cette façon, ils voulaient également donner aux victimes auparavant injoignables la possibilité de contacter Emsisoft.

BlackMatter repose sur un modèle de type « Ransomware-as-a-Service » (RaaS), où le « noyau dur » du gang profite des recettes de ses affiliés. Les attaques visent principalement les grandes entreprises, bien que les règles figurant sur le site web de la fuite excluent explicitement les infrastructures critiques, l’industrie de la défense, les organisations à but non lucratif et les hôpitaux comme cibles. Toutefois, ce type d’attaque est déjà connu d’autres gangs de ransomware dans le passé, qui ont fini par être infidèles à leurs principes.

Emsisoft, mais aussi un récent avis de sécurité de la CISA, considèrent BlackMatter comme un successeur direct ou un « rebranding » du programme de partenariat ransomware DarkSide, qui a été responsable de la panne de Colonial Pipeline aux États-Unis en mai 2021. À l’époque, l’équipe de DarkSide avait perdu le contrôle d’une partie de son infrastructure au profit d’organismes d’application de la loi et avait finalement arrêté de fumer. Par ailleurs, selon de nombreux chercheurs en sécurité, DarkSide avait également des liens étroits avec le célèbre gang REvil, qui est actuellement hors ligne.

Lire aussi

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici