Данные для авторизации на портале переговоров BlackMatter утекли в открытый доступ.
Online-гонения киберпреступных группировок могли привести к ужесточению их политик публикации данных, похищенных у жертв, считают эксперты из ИБ-компании Emsisoft.
Ранее в этом месяце операторы вымогательского ПО Conti пригрозили срывом переговоров об уплате выкупа, если кто-то, кто не является "уважаемым журналистом или исследователем", опубликует скриншот переговоров.
Как правило, скриншоты переговоров выкладываются в общий доступ посторонними пользователями, из любопытства авторизующимися на порталах, где ведутся переговоры.
Именно так и произошло с порталом группировки BlackMatter (предположительно являющейся возродившейся под новым именем DarkSide). Учетные данные для авторизации на портале (обычно указываются в записке с требованием выкупа) оказались в открытом доступе, в результате чего на преступников обрушилась волна яростных оскорблений. В итоге BlackMatter была вынуждена отключить свой портал.
Как отметил технический директор Emsisoft Фабиан Восар (Fabian Wosar), хотя подобные действия помогают пострадавшим и сочувствующим выпустить пар и вроде как отомстить, отключение платформы также означает, что исследователи безопасности лишаются одного из самых ценных инструментов связи с жертвами вымогателей.
Вымогательские группировки полагаются на СМИ и соцсети в оказании давления на жертв, и общественное мнение очень важно для них. Однако специалисты обеспокоены такой публичностью вымогателей. В частности, большое беспокойство у экспертов Emsisoft вызывают декрипторы. Когда становится известно, что в вымогательском ПО есть уязвимость, позволяющая жертвам расшифровать свои файлы без уплаты выкупа, его операторы исправляют эту уязвимость. Такая уязвимость присутствовала в DarkSide, что позволяло Emsisoft тайно расшифровывать файлы жертв.
Уязвимость была обнаружена в декабре 2020 года, а исправлена 12 января, на следующий день после публикации бесплатного декриптора от ИБ-компании Bitdefender, также обнаружившей данную уязвимость.
Как оказалось, возродившись под именем BlackMatter, группировка DarkSide снова допустила ту же техническую ошибку.
"Мы были удивлены, когда BlackMatter внесла в свое вымогательское ПО изменения, снова позволяющие восстанавливать данные жертв без уплаты выкупа", - сообщил Восар.
Теперь, когда портал BlackMatter отключен, Emsisoft больше не может помогать жертвам вымогателей восстанавливать свои файлы без уплаты выкупа.