De ransomware-hackers uit de koloniale pijplijn hadden een geheim wapen: cyberbeveiligingsbedrijven die zichzelf promoten

Vijf maanden voordat DarkSide de koloniale pijplijn aanviel, ontdekten twee onderzoekers een manier om de slachtoffers van ransomware te redden. Toen waarschuwde de aankondiging van een antivirusbedrijf de hackers.





Koloniale pijpleidingtanks

Drew Angerer/Getty Images

24 mei 2021

Op 11 januari zei antivirusbedrijf Bitdefender dat het verheugd was een verrassende doorbraak aan te kondigen. Het had een fout gevonden in de ransomware die een bende, bekend als DarkSide, gebruikte om computernetwerken van tientallen bedrijven in de VS en Europa te bevriezen. Bedrijven die worden geconfronteerd met eisen van DarkSide, kunnen een gratis tool van Bitdefender downloaden en voorkomen dat ze miljoenen dollars aan losgeld betalen aan de hackers.

Maar Bitdefender was niet de eerste die deze fout identificeerde. Twee andere onderzoekers, Fabian Wosar en Michael Gillespie , had het de maand ervoor opgemerkt en was discreet op zoek gegaan naar slachtoffers om te helpen. Door zijn tool te publiceren, waarschuwde Bitdefender DarkSide voor de fout, waarbij dezelfde digitale sleutels opnieuw moesten worden gebruikt om meerdere slachtoffers te vergrendelen en ontgrendelen. De volgende dag verklaarde DarkSide dat het het probleem had verholpen en dat nieuwe bedrijven niets te hopen hadden.



Speciale dank aan BitDefender voor het helpen oplossen van onze problemen, zei DarkSide. Dit zal ons nog beter maken.

DarkSide bewees al snel dat het niet bluffen was en ontketende een reeks aanvallen. Deze maand verlamde het de Colonial Pipeline Co., wat leidde tot een stilgelegd van de 5500 mijl lange pijpleiding die 45% van de brandstof vervoert die aan de oostkust wordt gebruikt - snel gevolgd door een stijging van de benzineprijzen, paniekaankopen van gas in het zuidoosten en sluitingen van duizenden benzinestations. Zonder de aankondiging van Bitdefender is het mogelijk dat de crisis onder controle was en dat Colonial zijn systeem stilletjes heeft hersteld met de decoderingstool van Wosar en Gillespie.

In plaats daarvan betaalde Colonial DarkSide $ 4,4 miljoen in Bitcoin voor een sleutel om zijn bestanden te ontgrendelen. Ik moet toegeven dat ik me niet op mijn gemak voelde om geld de deur uit te zien gaan naar dit soort mensen, vertelde CEO Joseph Blount aan de Wall Street Journal.



De gemiste kans maakte deel uit van een breder patroon van mislukte of halfslachtige reacties op de groeiende dreiging van ransomware, die tijdens de pandemie bedrijven, scholen, ziekenhuizen en overheidsinstanties in het hele land heeft uitgeschakeld. Het incident laat ook zien hoe antivirusbedrijven die naam willen maken, soms een van de hoofdregels van het kat-en-muisspel van cyberoorlogvoering overtreden: laat je tegenstanders niet weten wat je hebt bedacht. Tijdens de Tweede Wereldoorlog, toen de Britse geheime dienst uit gedecodeerde berichten vernam dat de Gestapo van plan was een waardevolle dubbelspion, Johnny Jebsen, te ontvoeren en te vermoorden, mocht zijn begeleider hem niet waarschuwen uit angst de vijand te verraden dat de code was gebarsten. Tegenwoordig proberen ransomwarejagers zoals Wosar en Gillespie de onwetendheid van de aanvallers in stand te houden, zelfs ten koste van het contact met minder slachtoffers. Vroeg of laat, als de betalingen wegvallen, beseffen de cybercriminelen dat er iets mis is gegaan.

Of je een decoderingstool moet gebruiken, is een weloverwogen beslissing, zegt Rob McLeod, senior director van de threat response-eenheid van cyberbeveiligingsbedrijf eSentire. Vanuit marketingperspectief zing je dat lied van de daken over hoe je een beveiligingsoplossing hebt bedacht die de gegevens van een slachtoffer ontsleutelt. En dan zegt de veiligheidsonderzoeker: 'Geef hier geen informatie vrij. Houd de ransomware-bugs die we hebben gevonden waarmee we de gegevens kunnen decoderen geheim, zodat we de dreigingsactoren niet op de hoogte stellen.'

In een post op het dark web bedankte DarkSide Bitdefender voor het identificeren van een fout in de ransomware van de bende. (Hoogtepunt toegevoegd door ProPublica.)



Wosar zei dat het publiekelijk vrijgeven van tools, zoals Bitdefender deed, riskanter is geworden naarmate het losgeld is gestegen en de bendes rijker en technisch bedrevener zijn geworden. In de begindagen van ransomware, toen hackers thuiscomputers voor een paar honderd dollar bevroor, konden ze vaak niet bepalen hoe hun code was gebroken, tenzij ze specifiek op de fout werden gewezen.

Tegenwoordig hebben de makers van ransomware toegang tot reverse engineers en penetratietesters die zeer capabel zijn, zei hij. Zo krijgen ze in de eerste plaats toegang tot deze vaak sterk beveiligde netwerken. Ze downloaden de decryptor, ze demonteren hem, ze reverse-engineeren het en ze komen erachter waarom we hun bestanden konden decoderen. En 24 uur later is alles opgelost. Bitdefender had beter moeten weten.

Kan de ransomware-crisis actie tegen Rusland afdwingen?

Het blinde oog van Moskou voor cybercriminelen heeft escalerende aanvallen onvermijdelijk gemaakt, zeggen experts. Maar het veranderen van de aanpak is makkelijker gezegd dan gedaan.



Het was niet de eerste keer dat Bitdefender een oplossing verkondigde waar Wosar of Gillespie het voor hadden gedaan. Gillespie had de code van een ransomware-stam genaamd GoGoogle gebroken en hielp slachtoffers zonder enige fanfare, toen Bitdefender een decodering uitbracht hulpmiddel in mei 2020. Ook andere bedrijven hebben doorbraken publiekelijk aangekondigd, aldus Wosar en Gillespie.

Mensen zijn wanhopig op zoek naar nieuws, en grote beveiligingsbedrijven geven niet om slachtoffers, zei Wosar.

Bogdan Botezatu, directeur van dreigingsonderzoek bij Bitdefender in Boekarest, Roemenië, zei dat het bedrijf niet op de hoogte was van het eerdere succes bij het ontgrendelen van door DarkSide geïnfecteerde bestanden.

Hoe dan ook, zei hij, Bitdefender besloot zijn tool te publiceren omdat de meeste slachtoffers die vallen voor ransomware niet de juiste connectie hebben met ransomware-ondersteuningsgroepen en niet weten waar ze om hulp moeten vragen, tenzij ze kunnen leren over het bestaan ​​van tools uit mediaberichten of met een simpele zoekopdracht.

Bitdefender heeft gratis technische ondersteuning geboden aan meer dan een dozijn DarkSide-slachtoffers, en we denken dat vele anderen de tool met succes hebben gebruikt zonder onze tussenkomst, zei Botezatu. Door de jaren heen heeft Bitdefender individuen en bedrijven geholpen om te voorkomen dat ze meer dan $ 100 miljoen aan losgeld moesten betalen, zei hij.

Bitdefender erkende dat DarkSide de fout zou kunnen corrigeren, Botezatu zei: We zijn ons er terdege van bewust dat aanvallers wendbaar zijn en zich aanpassen aan onze decryptors. Maar DarkSide heeft het probleem misschien toch opgemerkt. We geloven niet in ransomware-decryptors die stil beschikbaar worden gemaakt. Aanvallers leren over hun bestaan ​​door zich voor te doen als thuisgebruikers of bedrijven in nood, terwijl de overgrote meerderheid van de slachtoffers geen idee hebben dat ze hun gegevens gratis terug kunnen krijgen.


De aanval op de koloniale pijpleiding , en de daaropvolgende chaos bij de benzinepompen in het zuidoosten, lijkt de federale overheid te hebben aangespoord om waakzamer te zijn. President Joe Biden heeft een uitvoerend bevel uitgevaardigd om de cyberbeveiliging te verbeteren en een blauwdruk te creëren voor een federale reactie op cyberaanvallen. DarkSide zei dat het onder druk van de VS stopte, hoewel ransomware-teams vaak zijn ontbonden om controle te voorkomen en vervolgens opnieuw zijn gevormd onder nieuwe namen, of hun leden zijn gestart met of lid geworden van andere groepen.

Hoe geavanceerd ze ook zijn, deze jongens zullen weer opduiken, en ze zullen zoveel slimmer zijn, zei Aaron Tantleff, een cyberbeveiligingsadvocaat uit Chicago die 10 bedrijven heeft geraadpleegd die zijn aangevallen door DarkSide. Ze komen wraakzuchtig terug.

'Mensen zijn wanhopig op zoek naar nieuws, en grote beveiligingsbedrijven geven niets om slachtoffers.'

Fabian Wosar, Ransomware-jachtteam

Tot nu toe zijn particuliere onderzoekers en bedrijven vaak effectiever geweest dan de overheid in het bestrijden van ransomware. Afgelopen oktober verstoorde Microsoft de infrastructuur van Trickbot, een netwerk van meer dan 1 miljoen geïnfecteerde computers die de beruchte Ryuk-stam van ransomware verspreidden, door zijn servers en communicatie uit te schakelen. Die maand sloot ProtonMail, de in Zwitserland gevestigde e-mailservice, 20.000 Ryuk-gerelateerde accounts.

Wosar en Gillespie, die behoren tot een wereldwijde vrijwilligersgroep genaamd het Ransomware Hunting Team, hebben meer dan 300 grote ransomware-soorten en -varianten gekraakt, waardoor naar schatting 4 miljoen slachtoffers zijn behoed voor het betalen van miljarden dollars.

De FBI decodeert daarentegen zelden ransomware of arresteert de aanvallers, die meestal zijn gevestigd in landen als Rusland of Iran die geen uitleveringsovereenkomsten met de VS hebben. DarkSide, bijvoorbeeld, zou vanuit Rusland opereren. Veel meer slachtoffers zoeken hulp bij het jachtteam, via websites die door haar leden worden onderhouden, dan bij de FBI.

De Amerikaanse geheime dienst doet ook onderzoek naar ransomware, dat onder haar bevoegdheid valt om financiële misdrijven te bestrijden. Maar, vooral in verkiezingsjaren, rouleert het soms agenten van cyberopdrachten om zijn bekendere missie uit te voeren om presidenten, vice-presidenten, kandidaten van grote partijen en hun families te beschermen. Europese rechtshandhaving, met name de Nederlandse Nationale Politie, is succesvoller dan de VS bij het arresteren van aanvallers en het in beslag nemen van servers.

Een golf van ransomware treft Amerikaanse ziekenhuizen terwijl het coronavirus piekt Een ongekende en opportunistische aanval roept een verontrustende vraag op: kost het een leven?

Evenzo heeft de Amerikaanse regering slechts bescheiden vooruitgang geboekt bij het aansporen van de particuliere industrie, inclusief pijpleidingbedrijven, om de verdediging tegen cyberbeveiliging te versterken. Het toezicht op cyberbeveiliging is verdeeld over een alfabetsoep van instanties, wat de coördinatie belemmert. Het Department of Homeland Security voert kwetsbaarheidsbeoordelingen uit voor kritieke infrastructuur, waaronder pijpleidingen.

Het beoordeelde Colonial Pipeline rond 2013 als onderdeel van een onderzoek naar plaatsen waar een cyberaanval een catastrofe zou kunnen veroorzaken. Volgens een voormalige DHS-functionaris werd de pijpleiding als veerkrachtig beschouwd, wat betekent dat deze snel zou kunnen herstellen. De afdeling heeft niet gereageerd op vragen over eventuele latere beoordelingen.

Vijf jaar later creëerde DHS een pijplijn cyberbeveiliging initiatief om zwakke punten in pijpleidingcomputersystemen te identificeren en strategieën aan te bevelen om deze aan te pakken. Deelname is vrijwillig en een persoon die bekend is met het initiatief zei dat het nuttiger is voor kleinere bedrijven met beperkte interne IT-expertise dan voor grote zoals Colonial. Het National Risk Management Center, dat toezicht houdt op het initiatief, worstelt ook met andere netelige problemen zoals verkiezingsbeveiliging.


Ransomware is enorm gestegen sinds 2012 , toen de komst van Bitcoin het moeilijk maakte om betalingen te volgen of te blokkeren. De tactieken van de criminelen zijn geëvolueerd van willekeurige sproei- en gebedscampagnes op zoek naar een paar honderd dollar per stuk tot specifieke bedrijven, overheidsinstanties en non-profitorganisaties met eisen van miljoenen dollars.

Vooral de aanvallen op energiebedrijven zijn tijdens de pandemie toegenomen – niet alleen in de VS, maar ook in Canada, Latijns-Amerika en Europa. Omdat de bedrijven werknemers toestonden om vanuit huis te werken, versoepelden ze enkele beveiligingscontroles, zei McLeod.

DarkSide heeft een zogenaamd ransomware-as-a-service-model aangenomen. Volgens dit model werkte het samen met partners die de aanvallen lanceerden. De filialen ontvingen 75% tot 90% van het losgeld, terwijl DarkSide de rest hield.

Sinds 2019 hebben talloze bendes de druk opgevoerd met een techniek die bekend staat als dubbele afpersing. Bij het betreden van een systeem stelen ze gevoelige gegevens voordat ze ransomware lanceren die de bestanden codeert en het onmogelijk maakt voor ziekenhuizen, universiteiten en steden om hun dagelijkse werk te doen. Als het verlies van computertoegang niet voldoende intimiderend is, dreigen ze vertrouwelijke informatie te onthullen, waarbij ze vaak voorbeelden plaatsen als hefboom. Toen de politie van Washington, DC bijvoorbeeld niet het losgeld van $ 4 miljoen betaalde dat vorige maand werd geëist door een bende genaamd Babuk, publiceerde Babuk inlichtingenbriefings, namen van criminele verdachten en getuigen, en personeelsdossiers, van medische informatie tot polygraaftest resultaten, van functionarissen en sollicitanten.

DarkSide, dat afgelopen augustus verscheen, belichaamde dit nieuwe ras. Het koos doelen op basis van een zorgvuldige financiële analyse of informatie uit zakelijke e-mails. Het viel bijvoorbeeld een van Tantleff's klanten aan gedurende een week waarin de hackers wisten dat het bedrijf kwetsbaar zou zijn omdat het zijn bestanden naar de cloud overzette en geen schone back-ups had.

Om doelnetwerken te infiltreren, gebruikte de bende geavanceerde methoden zoals zero-day exploits die onmiddellijk profiteren van softwarekwetsbaarheden voordat ze kunnen worden gepatcht. Eenmaal binnen bewoog het snel, niet alleen op zoek naar gevoelige gegevens, maar ook naar de cyberverzekering van het slachtoffer, zodat het zijn eisen kon koppelen aan het dekkingsbedrag. Na twee tot drie dagen rondneuzen, versleutelde DarkSide de bestanden.

Ze hebben een sneller aanvalsvenster, zegt Christopher Ballod, associate managing director voor cyberrisico's bij Kroll, het bedrijf voor bedrijfsonderzoek, dat een half dozijn DarkSide-slachtoffers heeft geadviseerd. Hoe langer je in het systeem blijft, hoe groter de kans dat je gepakt wordt.

Typisch waren de eisen van DarkSide aan de bovenkant van de schaal, $ 5 miljoen en hoger, zei Ballod. Een enge tactiek: als beursgenoteerde bedrijven het losgeld niet betaalden, dreigde DarkSide de van hen gestolen informatie te delen met shortsellers die zouden profiteren als de aandelenkoers na publicatie zou dalen.

De site van DarkSide op het dark web identificeerde tientallen slachtoffers en beschreef de vertrouwelijke gegevens die het beweerde van hen te hebben verzameld. Een daarvan was het advocatenkantoor Stone Pigman Walther Wittmann uit New Orleans. Een grote ergernis is wat het was, zei advocaat Phil Wittmann, verwijzend naar de DarkSide-aanval in februari. We hebben ze niets betaald, zei Michael Walshe Jr., voorzitter van het managementcomité van het bedrijf, en weigerde verder commentaar te geven.

Afgelopen november, DarkSide geadopteerd wat bekend staat als een ransomware-as-a-service-model. Volgens dit model werkte het samen met partners die de aanvallen lanceerden. de filialen hebben ontvangen 75% tot 90% van het losgeld, terwijl DarkSide de rest houdt. Zoals deze samenwerking suggereert, is het ransomware-ecosysteem een ​​vertekende spiegel van de bedrijfscultuur, met alles van sollicitatiegesprekken tot procedures voor het afhandelen van geschillen. Nadat DarkSide was gesloten, klaagden verschillende mensen die zichzelf identificeerden als zijn gelieerde ondernemingen op een forum voor geschillenbeslechting dat het hen had opgelicht. Het doelwit betaalde, maar ik kreeg mijn deel niet, schreef iemand.

Samen zouden DarkSide en zijn dochterondernemingen naar verluidt ten minste $ 90 miljoen hebben opgebracht. Zeven klanten van Tantleff, waaronder twee bedrijven in de energiesector, betaalden losgeld variërend van $ 1,25 miljoen tot $ 6 miljoen, als gevolg van onderhandelde kortingen van aanvankelijke eisen van $ 7,5 miljoen tot $ 30 miljoen. Zijn andere drie klanten die door DarkSide werden getroffen, betaalden niet. In een van die gevallen eisten de hackers $ 50 miljoen. De onderhandelingen werden bitter en de twee partijen konden het niet eens worden over een prijs.

De vertegenwoordigers van DarkSide waren slimme onderhandelaars, zei Tantleff. Als een slachtoffer zei dat het het losgeld vanwege de pandemie niet kon betalen, was DarkSide klaar met gegevens die aantoonden dat de inkomsten van het bedrijf hoger waren of dat de impact van covid-19 in de prijs was verwerkt.

DarkSides greep op geopolitiek was minder geavanceerd dan zijn benadering van ransomware. Rond dezelfde tijd dat het het gelieerde model adopteerde, publiceerde het dat het van plan was de van slachtoffers gestolen informatie te beschermen door deze op servers in Iran op te slaan. DarkSide realiseerde zich blijkbaar niet dat een Iraanse connectie het verzamelen van losgeld van slachtoffers in de VS zou bemoeilijken, die economische sancties heeft die financiële transacties met Iran beperken. Hoewel DarkSide later terugkwam op deze verklaring en zei dat het alleen Iran als een mogelijke locatie had beschouwd, hadden tal van cyberverzekeraars zorgen over het dekken van betalingen aan de groep. Coveware, een bedrijf uit Connecticut dat namens slachtoffers onderhandelt met aanvallers, stopte met het omgaan met DarkSide.

Ballod zei dat hun verzekeraars niet bereid waren om het losgeld terug te betalen, geen van zijn klanten betaalde DarkSide, ondanks zorgen over de blootstelling van hun gegevens. Zelfs als ze waren toegegeven aan DarkSide en in ruil daarvoor de verzekering hadden gekregen van de hackers dat de gegevens zouden worden versnipperd, zou de informatie nog steeds kunnen lekken, zei hij.


Tijdens de overgang van DarkSide naar het aangesloten model , werd een fout geïntroduceerd in de ransomware. De kwetsbaarheid trok de aandacht van leden van het Ransomware Hunting Team. Het team dat alleen op uitnodiging is opgericht in 2016, bestaat uit een tiental vrijwilligers in de VS, Spanje, Italië, Duitsland, Hongarije en het VK. Ze werken in cybersecurity of aanverwante gebieden. In hun vrije tijd werken ze samen aan het vinden en decoderen van nieuwe ransomware-soorten.

Verscheidene leden, waaronder Wosar, hebben weinig formele opleiding genoten, maar kunnen wel programmeren. Wosar was voortijdig schoolverlater en groeide op in een arbeidersgezin in de buurt van de Duitse havenstad Rostock. In 1992, op achtjarige leeftijd, zag hij voor het eerst een computer en was hij in vervoering. Toen hij 16 was, ontwikkelde hij zijn eigen antivirussoftware en verdiende hij er geld mee. Nu 37, heeft hij gewerkt voor antivirusbedrijf Emsisoft sinds de oprichting bijna twee decennia geleden en is de chief technology officer. Hij is in 2018 vanuit Duitsland naar het VK verhuisd en woont in de buurt van Londen.

Hij vecht al sinds 2012 tegen ransomware-hackers, toen hij een soort kraakte genaamd ACCDFISA, wat stond voor Anti Cyber ​​Crime Department van de Federal Internet Security Agency. Dit fictieve bureau bracht mensen op de hoogte dat kinderpornografie hun computers had geïnfecteerd en blokkeerde daarom de toegang tot hun bestanden, tenzij ze $ 100 betaalden om het virus te verwijderen.

Google zegt dat het voor hackers te gemakkelijk is om nieuwe beveiligingsfouten te vinden Aanvallers maken keer op keer misbruik van dezelfde soorten softwarekwetsbaarheden, omdat bedrijven vaak door de bomen het bos niet meer zien.

De ACCDFISA-hacker merkte uiteindelijk dat de stam was gedecodeerd en bracht een herziene versie uit. Veel van Wosars latere triomfen waren ook vluchtig. Hij en zijn teamgenoten probeerden criminelen zo lang mogelijk onwetend te houden dat hun soort kwetsbaar was. Ze lieten cryptische berichten achter op fora om slachtoffers uit te nodigen contact met hen op te nemen voor hulp of stuurden directe berichten naar mensen die hadden gepost dat ze waren aangevallen.

Bij het beschermen tegen computerinbraken ontdekten analisten bij antivirusbedrijven soms ransomware-fouten en bouwden ze decoderingstools, hoewel dit niet hun belangrijkste focus was. Soms kwamen ze in aanvaring met Wosar.

In 2014 ontdekte Wosar dat een ransomware-stam genaamd CryptoDefense een deel van de code uit Microsoft Windows kopieerde en plakte die het gebruikte om bestanden te vergrendelen en ontgrendelen, zonder te beseffen dat dezelfde code werd bewaard in een map op de eigen computer van het slachtoffer. Het miste het signaal, of de vlag, in hun programma, meestal opgenomen door de makers van ransomware om Windows te instrueren geen kopie van de sleutel op te slaan.

Wosar ontwikkelde snel een decoderingstool om de sleutel op te halen. We stonden voor een interessant raadsel, schreef Sarah White, een ander lid van het jachtteam, op Emsisoft's Blog . Hoe kunnen we onze tool bij de meeste slachtoffers brengen zonder de malware-ontwikkelaar op de hoogte te stellen van zijn fout?

Wosar zocht discreet naar CryptoDefense-slachtoffers via ondersteuningsforums, vrijwilligersnetwerken en aankondigingen waar ze contact konden opnemen voor hulp. Hij vermeed te beschrijven hoe het hulpmiddel werkte of de blunder die het uitbuitte. Toen slachtoffers naar voren kwamen, leverde hij de oplossing, waarbij hij de ransomware van minstens 350 computers verwijderde. CryptoDefense betrapte ons uiteindelijk ... maar hij had nog steeds geen toegang tot de decrypter die we gebruikten en had geen idee hoe we de bestanden van zijn slachtoffers ontgrendelden, schreef White.

'We stonden voor een interessant raadsel... Hoe kunnen we onze tool onder de meeste slachtoffers brengen zonder de malwareontwikkelaar op zijn fout te wijzen?

Sarah White, Ransomware-jachtteam

Maar toen ontdekte een antivirusbedrijf, Symantec, hetzelfde probleem en schepte het op over de ontdekking in een blogpost die voldoende informatie bevatte om de CryptoDefense-ontwikkelaar te helpen de fout te vinden en te corrigeren, schreef White. Binnen 24 uur begonnen de aanvallers een herziene versie te verspreiden. Ze veranderden de naam in CryptoWall en gemaakt 325 miljoen dollar.

Symantec verkoos snelle publiciteit boven het helpen van CryptoDefense-slachtoffers om hun bestanden te herstellen, schreef White. Soms zijn er dingen die je beter niet kunt zeggen.

Een woordvoerster van Broadcom, dat in 2019 de enterprise security-activiteiten van Symantec overnam, weigerde commentaar te geven en zei dat de teamleden die aan de tool hebben gewerkt niet langer bij het bedrijf zijn.


Net als Wosar, de 29-jarige Gillespie komt uit armoede en ging nooit naar de universiteit. Toen hij opgroeide in het centrum van Illinois, had zijn familie het financieel zo zwaar dat ze soms moesten intrekken bij vrienden of familieleden. Na de middelbare school werkte hij 10 jaar fulltime bij een computerreparatieketen genaamd Nerds on Call. Vorig jaar werd hij malware- en cybersecurity-onderzoeker bij Coveware.

Afgelopen december stuurde hij Wosar om hulp. Gillespie had met een DarkSide-slachtoffer gewerkt die losgeld had betaald en een tool had gekregen om de gegevens te herstellen. Maar de decryptor van DarkSide had de reputatie traag te zijn en het slachtoffer hoopte dat Gillespie het proces kon versnellen.

Gillespie analyseerde de software, die een sleutel bevatte om de bestanden vrij te geven. Hij wilde de sleutel eruit halen, maar omdat deze op een ongewoon complexe manier was opgeslagen, kon hij dat niet. Hij wendde zich tot Wosar, die hem kon isoleren.

De teamgenoten begonnen vervolgens de sleutel te testen op andere bestanden die door DarkSide waren geïnfecteerd. Gillespie controleerde bestanden die door slachtoffers waren geüpload naar de website die hij beheert, ID Ransomware, terwijl Wosar VirusTotal gebruikte, een online database met vermoedelijke malware.

Die nacht deelden ze een ontdekking.

Ik heb bevestiging dat DarkSide hun RSA-sleutels hergebruikt, schreef Gillespie aan het jachtteam op zijn Slack-kanaal. Een type cryptografie, RSA genereert twee sleutels: een openbare sleutel om gegevens te coderen en een privésleutel om deze te ontcijferen. RSA wordt op legitieme wijze gebruikt om veel aspecten van e-commerce te beschermen, zoals het beschermen van kredietnummers. Maar het is ook gecoöpteerd door ransomware-hackers.

Ik merkte hetzelfde als ik in staat was om nieuw gecodeerde bestanden te decoderen met behulp van hun decrypter, antwoordde Wosar minder dan een uur later, om 2:45 uur Londense tijd.

Uit hun analyse bleek dat DarkSide, voordat het partnermodel werd aangenomen, voor elk slachtoffer een verschillende openbare en privésleutel had gebruikt. Wosar vermoedde dat DarkSide tijdens deze overgang een fout introduceerde in zijn aangesloten portal die werd gebruikt om de ransomware voor elk doelwit te genereren. Wosar en Gillespie konden nu de sleutel die Wosar had uitgepakt gebruiken om bestanden op te halen van Windows-machines die in beslag waren genomen door DarkSide. De cryptografische blunder had geen invloed op Linux-besturingssystemen.

Hoe ambtenaren de verkiezingen beschermen tegen ransomware-hackers De zorgen over een aanval op verkiezingssystemen zijn reëel. Maar een hack zou de stemming niet zoveel schaden als de desinformatie die het gevolg zou zijn.

We krabden ons achter de oren, zei Wosar. Zouden ze het echt zo erg hebben verpest? DarkSide was een van de meer professionele ransomware-as-a-service-programma's die er zijn. Het is zeer, zeer zeldzaam dat ze zo'n grote fout maken.

Het jachtteam vierde rustig, zonder publiciteit te zoeken. White, een student computerwetenschappen aan Royal Holloway, onderdeel van de Universiteit van Londen, ging op zoek naar DarkSide-slachtoffers. Ze nam contact op met bedrijven die zich bezighouden met digitaal forensisch onderzoek en incidentrespons.

We zeiden tegen hen: 'Hé, luister, als je DarkSide-slachtoffers hebt, vertel ze dan om contact met ons op te nemen; wij kunnen ze helpen. We kunnen hun bestanden herstellen en ze hoeven geen enorm losgeld te betalen', zei Wosar.

De DarkSide-hackers hebben de kerstperiode grotendeels vrijgelaten. Gillespie en Wosar verwachtten dat als de aanslagen in het nieuwe jaar zouden worden hervat, hun ontdekking tientallen slachtoffers zou helpen. Maar toen publiceerde Bitdefender zijn bericht, onder de kop Darkside Ransomware Decryption Tool.

In een berichtenkanaal met de ransomware-responscommunity vroeg iemand waarom Bitdefender de hackers een tip zou geven. Publiciteit, reageerde White. Ziet er goed uit. Ik kan echter garanderen dat ze het nu veel sneller zullen repareren.

Ze had gelijk. De volgende dag erkende DarkSide de fout die Wosar en Gillespie voor Bitdefender hadden ontdekt. Vanwege het probleem met het genereren van sleutels hebben sommige bedrijven dezelfde sleutels, schreven de hackers, eraan toevoegend dat tot 40% van de sleutels werd beïnvloed.

DarkSide bespotte Bitdefender voor het vrijgeven van de decryptor op het verkeerde moment ... omdat de activiteit van ons en onze partners tijdens de nieuwjaarsvakantie het laagst is.

Naast de frustraties van het team ontdekte Wosar dat de Bitdefender-tool zijn eigen nadelen had. Met behulp van de decryptor van het bedrijf probeerde hij monsters te ontgrendelen die waren geïnfecteerd door DarkSide en ontdekte dat ze daarbij beschadigd waren. Ze hebben de decodering feitelijk verkeerd uitgevoerd, zei Wosar. Dat betekent dat als slachtoffers de Bitdefender-tool hebben gebruikt, de kans groot is dat ze de gegevens hebben beschadigd.

Gevraagd naar de kritiek van Wosar, zei Botezatu dat gegevensherstel moeilijk is en dat Bitdefender alle voorzorgsmaatregelen heeft genomen om ervoor te zorgen dat we geen gebruikersgegevens in gevaar brengen, inclusief uitgebreide tests en code die evalueert of het resulterende gedecodeerde bestand geldig is.

Zelfs zonder Bitdefender zou DarkSide hoe dan ook snel zijn fout hebben gerealiseerd, zeiden Wosar en Gillespie. Toen ze bijvoorbeeld gecompromitteerde netwerken doorzochten, zijn de hackers mogelijk e-mails tegengekomen waarin slachtoffers, geholpen door het jachtteam, de fout bespraken.

Misschien komen ze er zo achter - dat is altijd een mogelijkheid, zei Wosar. Maar het is vooral pijnlijk als een kwetsbaarheid wordt verbrand door zoiets stoms.

Het incident bracht het jachtteam ertoe een term te bedenken voor het voortijdig blootleggen van een zwakte in een ransomware-stam. Intern maken we vaak grapjes: 'Ja, ze gaan waarschijnlijk een Bitdefender trekken', zei Wosar.


Dit verhaal is gepubliceerd in samenwerking met ProPublica, een non-profit redactiekamer die machtsmisbruik onderzoekt. Renee Dudley en Daniel Golden hebben zich gericht op ransomware voor ProPublica en werken aan een boek over het Ransomware Hunting Team, dat volgend jaar door Farrar, Straus en Giroux zal worden gepubliceerd.

Schrijf je in om te ontvangen De grootste verhalen van ProPublica zodra ze zijn gepubliceerd.