【一文不值】新勒索軟件BlackByte錯漏百出 遭安全專家恥笑幼稚
勒索軟件集團又有新家族,不過這個名為 BlackByte 的勒索軟件,就被安全專家批評技術幼嫰兼錯漏百出,相信跟以往的勒索軟件集團毫無關係。究竟犯了哪些低級錯誤先會被批評得體無完膚?
網絡安全公司 Trustwave 的研究員早前在調查一宗客戶遭受勒索軟件攻擊的事件時,對名為 BlackByte 的勒索軟件進行深入調查。研究員指出,BlackByte 的攻擊模式基本上跟俄羅斯勒索軟件集團非常相似,例如他們會跟 REvil 一樣不會對採用俄系語言的電腦設備出手,而且亦會像 Ryuk 般利用網絡漏洞於企業內部擴散,因此認為 BlackByte 集團亦是來自俄羅斯。眾所周知,俄羅斯盛產勒索軟件集團,特別是這些集團都會在 XSS 等俄語暗網討論區刊登廣告,例如 REvil、DarkSide 及 LockBit 等等,他們的攻擊及加密技術都非常先進,如果不幸中招,即使是網絡安全專家亦會束手無策。
不過,Trustwave 研究員這次卻輕易為客戶解圍,背後原因在於 BlackByte 犯下多種低級錯誤。首先他們會將加密金鑰存於在一個公開的伺服器內,研究員便是在逆向工程時發現到這個伺服器並取得加密金鑰,因此便可為受害客戶解鎖。其次是專家又發現 BlackByte 只使用同一條加密金鑰,去加密所有受害者的電腦設備,換言之 Trustwave 研究員可憑手上的金鑰去解救所有受害者。最後,BlackByte 雖然利用了混淆 (obfuscation) 技術隱藏惡意編碼,不過專家卻發現他們的混淆技術相當容易理解,因此亦能輕易還原被隱藏的惡意編碼。
由以上種種證據顯示,BlackByte 應該屬於全新的勒索軟件集團,其粗疏的惡意編碼並未有繼承自任何高質素的前輩。而在事件曝光後,專家指 BlackByte 已將伺服器上的金鑰移除,所以就算電腦已被 BlackByte 入侵,也不會進行任何加密程序。不過,為免勒索軟件集團突然升呢,企業客戶仍然需要立即檢查內部系統有否任何勒索軟件的痕跡。