211service.com
The Colonial pipeline ransomware hackare hade ett hemligt vapen: självfrämjande cybersäkerhetsföretag
Fem månader innan DarkSide attackerade Colonial pipeline upptäckte två forskare ett sätt att rädda sina offer för ransomware. Sedan varnade ett antivirusföretags tillkännagivande hackarna.
Drew Angerer/Getty Images
24 maj 2021Den 11 januari sa antivirusföretaget Bitdefender att det var glada att kunna meddela ett häpnadsväckande genombrott. Den hade hittat ett fel i ransomware som ett gäng känt som DarkSide använde för att frysa datornätverk för dussintals företag i USA och Europa. Företag som möter krav från DarkSide kan ladda ner ett gratisverktyg från Bitdefender och slippa betala miljontals dollar i lösen till hackarna.
Men Bitdefender var inte den första att identifiera denna brist. Två andra forskare, Fabian Wosar och Michael Gillespie , hade märkt det månaden innan och hade diskret börjat leta efter offer för att hjälpa. Genom att publicera sitt verktyg uppmärksammade Bitdefender DarkSide om förfallet, vilket innebar att samma digitala nycklar återanvändes för att låsa och låsa upp flera offer. Dagen efter deklarerade DarkSide att de hade reparerat problemet och att nya företag inte har något att hoppas på.
Speciellt tack till BitDefender för att du hjälpte till att fixa våra problem, sa DarkSide. Detta kommer att göra oss ännu bättre.
DarkSide visade snart att det inte bluffade och släppte lös en rad attacker. Den här månaden förlamade det Colonial Pipeline Co., vilket fick en stänga av av den 5 500 mil långa rörledningen som transporterar 45 % av bränslet som används på östkusten – snabbt följt av en ökning av bensinpriserna, panikköp av gas över hela sydost och stängningar av tusentals bensinstationer. I avsaknad av Bitdefenders tillkännagivande är det möjligt att krisen kan ha hållits tillbaka och att Colonial tyst kan ha återställt sitt system med Wosar och Gillespies dekrypteringsverktyg.
Istället betalade Colonial DarkSide 4,4 miljoner dollar i Bitcoin för en nyckel för att låsa upp sina filer. Jag ska erkänna att jag inte var bekväm med att se pengar gå ut genom dörren till sådana här människor, sa VD Joseph Blount till Wall Street Journal.
Det missade tillfället var en del av ett bredare mönster av felaktiga eller halvhjärtade reaktioner på det växande hotet med ransomware, som under pandemin har inaktiverat företag, skolor, sjukhus och statliga myndigheter över hela landet. Incidenten visar också hur antivirusföretag som är ivriga att skapa sig ett namn ibland bryter mot en av huvudreglerna för katt-och-råtta-spelet cyberkrigföring: Låt inte dina motståndare veta vad du har kommit på. Under andra världskriget, när den brittiska underrättelsetjänsten från dekrypterad kommunikation fick reda på att Gestapo planerade att bortföra och mörda en värdefull dubbelagent, Johnny Jebsen, fick hans hanterare inte varna honom av rädsla för att ana fienden att dess chiffer hade blivit knäckt. Idag försöker ransomware-jägare som Wosar och Gillespie förlänga angriparnas okunnighet, även till priset av att kontakta färre offer. Förr eller senare, när betalningarna faller, inser cyberbrottslingarna att något har gått fel.
Huruvida man ska presentera ett dekrypteringsverktyg är ett beräknat beslut, säger Rob McLeod, senior chef för hotresponsenheten för cybersäkerhetsföretaget eSentire. Ur marknadsföringsperspektiv sjunger du den låten från hustaken om hur du har kommit på en säkerhetslösning som kommer att dekryptera ett offers data. Och sedan säger säkerhetsforskarens vinkel: 'Upplåt inte någon information här. Håll ransomware-buggarna som vi har hittat som tillåter oss att avkoda data hemliga, för att inte meddela hotaktörerna.”

I ett inlägg på den mörka webben tackade DarkSide Bitdefender för att ha identifierat ett fel i gängets ransomware. (Höjdpunkt tillagd av ProPublica.)
Wosar sa att offentligt släppande av verktyg, som Bitdefender gjorde, har blivit mer riskabelt eftersom lösensummor har skjutit i höjden och gängen har blivit rikare och mer tekniskt skickliga. I de första dagarna av ransomware, när hackare frös hemdatorer för några hundra dollar, kunde de ofta inte avgöra hur deras kod bröts om inte felet specifikt påpekades för dem.
Idag har skaparna av ransomware tillgång till reverse engineering och penetrationstestare som är väldigt mycket kapabla, sa han. Det är så de får tillträde till dessa ofta mycket säkra nätverk i första hand. De laddar ner dekrypteringsprogrammet, de plockar isär det, de omvänder det och de kommer på exakt varför vi kunde dekryptera deras filer. Och 24 timmar senare är det hela fixat. Bitdefender borde ha vetat bättre.
Relaterad berättelse
Kan ransomware-krisen tvinga fram åtgärder mot Ryssland? Moskvas blinda öga mot cyberkriminella har gjort eskalerande attacker oundvikliga, säger experter. Men att ändra inställningen är lättare sagt än gjort.
Det var inte första gången Bitdefender basunerade ut en lösning som Wosar eller Gillespie hade slagit den mot. Gillespie hade brutit koden för en ransomware-stam som heter GoGoogle och hjälpte offer utan någon fanfar när Bitdefender släppte en dekryptering verktyg i maj 2020. Andra företag har också tillkännagett genombrott offentligt, sa Wosar och Gillespie.
Folk är desperata efter att nämna nyheter, och stora säkerhetsföretag bryr sig inte om offer, sa Wosar.
Bogdan Botezatu, chef för hotforskning vid Bukarest, Rumänien-baserade Bitdefender, sa att företaget inte var medvetet om den tidigare framgången med att låsa upp filer infekterade av DarkSide.
Oavsett, sa han, bestämde sig Bitdefender för att publicera sitt verktyg eftersom de flesta offer som faller för ransomware inte har rätt koppling till ransomware supportgrupper och kommer inte att veta var de ska be om hjälp om de inte kan lära sig om existensen av verktyg från mediarapporter eller med en enkel sökning.
Bitdefender har tillhandahållit gratis teknisk support till mer än ett dussin DarkSide-offer, och vi tror att många andra framgångsrikt har använt verktyget utan vår inblandning, sa Botezatu. Genom åren har Bitdefender hjälpt individer och företag att undvika att betala mer än 100 miljoner dollar i lösen, sa han.
Bitdefender insåg att DarkSide kan rätta till felet, sa Botezatu: Vi är väl medvetna om att angripare är smidiga och anpassar sig till våra dekrypteringar. Men DarkSide kanske har upptäckt problemet ändå. Vi tror inte på ransomware-dekrypteringar som görs tyst tillgängliga. Angripare kommer att lära sig om sin existens genom att utge sig för hemanvändare eller företag i nöd, medan den stora majoriteten av offren inte kommer att ha någon aning om att de kan få tillbaka sin data gratis.
Attacken mot Colonial Pipeline , och det efterföljande kaoset vid bensinpumparna i hela sydost, verkar ha sporrat den federala regeringen att vara mer vaksam. President Joe Biden utfärdade en verkställande order för att förbättra cybersäkerheten och skapa en plan för ett federalt svar på cyberattacker. DarkSide sa att det stängdes av under amerikansk press, även om ransomware-team ofta har upplösts för att undvika granskning och sedan ombildats under nya namn, eller så har deras medlemmar startat eller gått med i andra grupper.
Hur sofistikerade de än är, kommer dessa killar att dyka upp igen, och de kommer att bli så mycket smartare, sa Aaron Tantleff, en cybersäkerhetsadvokat från Chicago som har rådfrågat 10 företag som attackerats av DarkSide. De kommer tillbaka med hämnd.
'Folk är desperata efter ett nyhetsomnämnande, och stora säkerhetsföretag bryr sig inte om offren.'
Fabian Wosar, Ransomware Hunting Team
Åtminstone hittills har privata forskare och företag ofta varit mer effektiva än regeringen i att bekämpa ransomware. I oktober förra året störde Microsoft infrastrukturen för Trickbot, ett nätverk av mer än 1 miljon infekterade datorer som spred den ökända Ryuk-stammen av ransomware, genom att inaktivera dess servrar och kommunikation. Den månaden stängde ProtonMail, den schweiziska e-posttjänsten, ner 20 000 Ryuk-relaterade konton.
Wosar och Gillespie, som tillhör en världsomspännande volontärgrupp kallad Ransomware Hunting Team, har knäckt mer än 300 stora ransomware-stammar och varianter, och räddat uppskattningsvis 4 miljoner offer från att betala miljarder dollar.
Däremot dekrypterar FBI sällan ransomware eller arresterar angriparna, som vanligtvis är baserade i länder som Ryssland eller Iran som saknar utlämningsavtal med USA. DarkSide, till exempel, tros verka från Ryssland. Mycket fler offer söker hjälp från jaktlaget, via webbplatser som underhålls av dess medlemmar, än från FBI.
Den amerikanska underrättelsetjänsten utreder också ransomware, som faller under dess uppgift att bekämpa ekonomiska brott. Men, särskilt under valår, roterar den ibland agenter från cyberuppdrag för att utföra sitt mer kända uppdrag att skydda presidenter, vicepresidenter, kandidater för stora partier och deras familjer. Europeisk brottsbekämpning, särskilt den holländska nationella polisen, har varit mer framgångsrika än USA när det gäller att arrestera angripare och beslagta servrar.
Relaterad berättelse
En våg av ransomware slår mot amerikanska sjukhus när coronaviruset ökar. En aldrig tidigare skådad och opportunistisk attack väcker en oroande fråga: Kommer det att kosta ett liv?På samma sätt har den amerikanska regeringen endast gjort blygsamma framsteg när det gäller att driva den privata industrin, inklusive pipelineföretag, att stärka cybersäkerhetsförsvaret. Cybersäkerhetsövervakningen är uppdelad i en alfabetisk soppa av byråer, vilket hindrar samordningen. Department of Homeland Security genomför sårbarhetsbedömningar för kritisk infrastruktur, som inkluderar rörledningar.
Den granskade Colonial Pipeline runt 2013 som en del av en studie av platser där en cyberattack kan orsaka en katastrof. Rörledningen ansågs vara motståndskraftig, vilket betyder att den kunde återhämta sig snabbt, enligt en tidigare DHS-tjänsteman. Avdelningen svarade inte på frågor om eventuella efterföljande granskningar.
Fem år senare skapade DHS en pipeline cybersäkerhet initiativ att identifiera svagheter i pipelinedatorsystem och rekommendera strategier för att åtgärda dem. Det är frivilligt att delta och en person som är bekant med initiativet sa att det är mer användbart för mindre företag med begränsad intern IT-kompetens än för stora som Colonial. National Risk Management Center, som övervakar initiativet, brottas också med andra svåra frågor som valsäkerhet.
Ransomware har skjutit i höjden sedan 2012 , när tillkomsten av Bitcoin gjorde det svårt att spåra eller blockera betalningar. Brottslingarnas taktik har utvecklats från urskillningslösa spray- och bönkampanjer som söker några hundra dollar styck till att rikta in sig på specifika företag, statliga myndigheter och ideella grupper med krav på mångmiljoner dollar.
Attackerna mot energiföretag i synnerhet har ökat under pandemin – inte bara i USA utan i Kanada, Latinamerika och Europa. Eftersom företagen tillät anställda att arbeta hemifrån, lättade de på vissa säkerhetskontroller, sa McLeod.
DarkSide antog vad som är känt som en ransomware-as-a-service-modell. Under denna modell samarbetade det med affiliates som startade attackerna. Affiliates fick 75 % till 90 % av lösensumman, medan DarkSide behöll resten.
Sedan 2019 har många gäng ökat trycket med en teknik som kallas dubbel utpressning. När de går in i ett system stjäl de känslig data innan de lanserar ransomware som kodar filerna och gör det omöjligt för sjukhus, universitet och städer att utföra sitt dagliga arbete. Om förlusten av datoråtkomst inte är tillräckligt skrämmande, hotar de att avslöja konfidentiell information, och lägger ofta upp prover som hävstång. Till exempel, när polisen i Washington, DC, inte betalade lösensumman på 4 miljoner dollar som krävdes av ett gäng som heter Babuk förra månaden, publicerade Babuk underrättelseöversikter, namn på misstänkta brottslingar och vittnen och personalhandlingar, från medicinsk information till polygraftest resultat, av tjänstemän och jobbkandidater.
DarkSide, som dök upp i augusti förra året, representerade denna nya ras. Den valde mål baserat på en noggrann finansiell analys eller information hämtad från företagets e-postmeddelanden. Till exempel attackerade den en av Tantleffs kunder under en vecka när hackarna visste att företaget skulle vara sårbart eftersom det överförde sina filer till molnet och inte hade rena säkerhetskopior.
För att infiltrera målnätverk använde gänget avancerade metoder som nolldagars utnyttjande som omedelbart drar fördel av mjukvarans sårbarheter innan de kan lappas. Väl inne rörde den sig snabbt och letade inte bara efter känslig information utan också efter offrets cyberförsäkring, så den kunde koppla sina krav till täckningsgraden. Efter två till tre dagars letande krypterade DarkSide filerna.
De har ett snabbare attackfönster, säger Christopher Ballod, biträdande chef för cyberrisk på Kroll, affärsutredningsföretaget, som har gett råd till ett halvdussin DarkSide-offer. Ju längre du vistas i systemet, desto mer sannolikt är det att du blir gripen.
Vanligtvis låg DarkSides krav på den höga delen av skalan, 5 miljoner dollar och uppåt, sa Ballod. En skrämmande taktik: om börsnoterade företag inte betalade lösensumman, hotade DarkSide att dela information som stulits från dem med kortsäljare som skulle tjäna om aktiekursen sjönk vid publicering.
DarkSides webbplats på den mörka webben identifierade dussintals offer och beskrev de konfidentiella uppgifter som den påstod sig ha hämtat från dem. En var New Orleans advokatbyrå Stone Pigman Walther Wittmann. En stor irritation är vad det var, sa advokat Phil Wittmann, med hänvisning till DarkSide-attacken i februari. Vi betalade dem ingenting, sa Michael Walshe Jr., ordförande för företagets ledningskommitté, och avböjde att kommentera ytterligare.
I november förra året, DarkSide antogs vad som kallas en ransomware-as-a-service-modell. Under denna modell samarbetade det med affiliates som startade attackerna. Medlemsförbunden mottagen 75 % till 90 % av lösensumman, medan DarkSide behåller resten. Som detta partnerskap antyder är ransomware-ekosystemet en förvrängd spegel av företagskulturen, med allt från anställningsintervjuer till procedurer för att hantera tvister. Efter att DarkSide stängdes, klagade flera personer som identifierade sig som dess affiliates på ett tvistlösningsforum att det hade gjort dem hårda. Målet betalade, men jag fick inte min del, skrev en.
Tillsammans ska DarkSide och dess dotterbolag ha tjänat in minst 90 miljoner dollar. Sju av Tantleffs kunder, inklusive två företag inom energibranschen, betalade lösensummor från 1,25 miljoner dollar till 6 miljoner dollar, vilket återspeglar förhandlade rabatter från initiala krav på 7,5 miljoner dollar till 30 miljoner dollar. Hans andra tre klienter som drabbats av DarkSide betalade inte. I ett av dessa fall krävde hackarna 50 miljoner dollar. Förhandlingarna blev hårda och de två sidorna kunde inte komma överens om ett pris.
DarkSides representanter var smarta förhandlare, sa Tantleff. Om ett offer sa att det inte hade råd med lösensumman på grund av pandemin, var DarkSide redo med data som visade att företagets intäkter ökade, eller att covid-19s inverkan var inkluderad i priset.
DarkSides grepp om geopolitik var mindre avancerad än dess inställning till ransomware. Ungefär samtidigt som den antog affiliatemodellen publicerade den att den planerade att skydda information som stulits från offer genom att lagra den på servrar i Iran. DarkSide insåg tydligen inte att en iransk anslutning skulle komplicera dess insamling av lösensummor från offer i USA, som har ekonomiska sanktioner som begränsar finansiella transaktioner med Iran. Även om DarkSide senare gick tillbaka till detta uttalande och sa att de bara hade betraktat Iran som en möjlig plats, hade många cyberförsäkringsbolag oro för att täcka betalningar till gruppen. Coveware, ett företag i Connecticut som förhandlar med angripare för offrens räkning, slutade handla med DarkSide.
Ballod sa att eftersom deras försäkringsbolag inte var villiga att ersätta lösensumman, betalade ingen av hans kunder DarkSide, trots oro över exponeringen av deras data. Även om de hade fallit för DarkSide och fått försäkringar från hackarna i gengäld att data skulle strimlas, kan informationen fortfarande läcka, sa han.
Under DarkSides övergång till affiliatemodellen , introducerades ett fel i dess ransomware. Sårbarheten uppmärksammades av medlemmar i Ransomware Hunting Team. Etablerat 2016, består teamet endast för inbjudningar av ett dussintal volontärer i USA, Spanien, Italien, Tyskland, Ungern och Storbritannien. De arbetar inom cybersäkerhet eller relaterade områden. På sin fritid samarbetar de för att hitta och dekryptera nya ransomware-stammar.
Flera medlemmar, inklusive Wosar, har liten formell utbildning men en fallenhet för kodning. Efter att ha hoppat av gymnasiet växte Wosar upp i en arbetarfamilj nära den tyska hamnstaden Rostock. 1992, vid åtta års ålder, såg han en dator för första gången och blev hänförd. När han var 16 utvecklade han sitt eget antivirusprogram och tjänade pengar på det. Nu 37 har han arbetat för antivirusföretaget Emsisoft sedan starten för nästan två decennier sedan och är dess tekniska chef. Han flyttade till Storbritannien från Tyskland 2018 och bor nära London.
Han har kämpat mot hackare med ransomware sedan 2012, då han knäckte en stam som heter ACCDFISA, som stod för Anti Cyber Crime Department of Federal Internet Security Agency. Den här fiktiva byrån meddelade folk att barnpornografi hade infekterat deras datorer, och därför blockerade den åtkomst till deras filer om de inte betalade 100 dollar för att ta bort viruset.
Relaterad berättelse
Google säger att det är för lätt för hackare att hitta nya säkerhetsbrister Angripare utnyttjar samma typer av mjukvarusårbarheter om och om igen, eftersom företag ofta missar skogen för träden.ACCDFISA-hackern märkte så småningom att stammen hade dekrypterats och släppte en reviderad version. Många av Wosars efterföljande triumfer var också flyktiga. Han och hans lagkamrater försökte hålla kriminella lyckligt ovetande så länge som möjligt om att deras stam var sårbar. De lämnade kryptiska meddelanden på forum där de uppmanade offren att kontakta dem för hjälp eller skickade direktmeddelanden till personer som skrev att de hade blivit attackerade.
Under skyddet mot datorintrång upptäckte analytiker på antivirusföretag ibland ransomware-brister och byggde dekrypteringsverktyg, även om det inte var deras huvudfokus. Ibland kolliderade de med Wosar.
2014 upptäckte Wosar att en ransomware-stam som heter CryptoDefense kopierade och klistrade in från Microsoft Windows en del av koden som den använde för att låsa och låsa upp filer, utan att inse att samma kod fanns bevarad i en mapp på offrets egen dator. Det saknades signalen, eller flaggan, i deras program, vanligtvis inkluderat av skapare av ransomware för att instruera Windows att inte spara en kopia av nyckeln.
Wosar utvecklade snabbt ett dekrypteringsverktyg för att hämta nyckeln. Vi stod inför en intressant gåta, skrev Sarah White, en annan jaktlagsmedlem, på Emsisofts Blogg . Hur får vi ut vårt verktyg till så många offer som möjligt utan att varna utvecklaren av skadlig programvara om hans misstag?
Wosar sökte diskret upp CryptoDefense-offer genom supportforum, volontärnätverk och meddelanden om var man kan kontakta för hjälp. Han undvek att beskriva hur verktyget fungerade eller misstaget det utnyttjade. När offren kom fram tillhandahöll han korrigeringen och skrubbade lösensumma från minst 350 datorer. CryptoDefense fick så småningom tag i oss ... men han hade fortfarande inte tillgång till dekrypteringen vi använde och hade ingen aning om hur vi låste upp hans offers filer, skrev White.
'Vi stod inför en intressant gåta... Hur får vi ut vårt verktyg till så många offer som möjligt utan att uppmärksamma utvecklaren av skadlig programvara om hans misstag?
Sarah White, Ransomware Hunting Team
Men sedan upptäckte ett antivirusföretag, Symantec, samma problem och skröt om upptäckten i ett blogginlägg som innehöll tillräckligt med information för att hjälpa CryptoDefense-utvecklaren att hitta och rätta till felet, skrev White. Inom 24 timmar började angriparna sprida en reviderad version. De bytte namn till CryptoWall och gjord 325 miljoner dollar.
Symantec valde snabb publicitet framför att hjälpa CryptoDefense-offer att återställa sina filer, skrev White. Ibland finns det saker som är bättre att lämna osagda.
En taleskvinna för Broadcom, som förvärvade Symantecs företagssäkerhetsverksamhet 2019, avböjde att kommentera och sa att teammedlemmarna som arbetade med verktyget inte längre är med i företaget.
Som Wosar, 29-åringen Gillespie kommer från fattigdom och gick aldrig på college. När han växte upp i centrala Illinois kämpade hans familj så mycket ekonomiskt att de ibland var tvungna att flytta in hos vänner eller släktingar. Efter gymnasiet arbetade han heltid i 10 år på en datorreparationskedja som heter Nerds on Call. Förra året blev han en skadlig programvara och cybersäkerhetsforskare på Coveware.
I december förra året skickade han ett meddelande till Wosar om hjälp. Gillespie hade arbetat med ett DarkSide-offer som hade betalat en lösensumma och fått ett verktyg för att återställa data. Men DarkSides dekryptering hade ett rykte om sig att vara långsam, och offret hoppades att Gillespie kunde påskynda processen.
Gillespie analyserade programvaran, som innehöll en nyckel för att släppa filerna. Han ville ta ut nyckeln, men eftersom den förvarades på ett ovanligt komplicerat sätt kunde han inte. Han vände sig till Wosar, som kunde isolera den.
Lagkamraterna började sedan testa nyckeln på andra filer infekterade av DarkSide. Gillespie kontrollerade filer som lagts upp av offer till webbplatsen han driver, ID Ransomware, medan Wosar använde VirusTotal, en onlinedatabas med misstänkt skadlig programvara.
Den natten delade de en upptäckt.
Jag har bekräftat att DarkSide återanvänder sina RSA-nycklar, skrev Gillespie till Hunting Team på sin Slack-kanal. En typ av kryptografi, RSA genererar två nycklar: en offentlig nyckel för att koda data och en privat nyckel för att dechiffrera den. RSA används legitimt för att skydda många aspekter av e-handel, som att skydda kreditnummer. Men det har också samordnats av hackare med ransomware.
Jag märkte detsamma eftersom jag kunde dekryptera nykrypterade filer med deras dekrypteringsanordning, svarade Wosar mindre än en timme senare, klockan 02:45 London tid.
Deras analys visade att innan DarkSide antog affiliatemodellen hade DarkSide använt en annan offentlig och privat nyckel för varje offer. Wosar misstänkte att DarkSide under denna övergång introducerade ett misstag i sin affiliate-portal som användes för att generera ransomware för varje mål. Wosar och Gillespie kunde nu använda nyckeln som Wosar hade extraherat för att hämta filer från Windows-maskiner som beslagtagits av DarkSide. Den kryptografiska blundern påverkade inte Linux-operativsystem.
Relaterad berättelse
Hur tjänstemän skyddar valet från hackare med ransomware Oron för en attack mot valsystem är verklig. Men ett hack skulle inte skada omröstningen lika mycket som den desinformation som skulle bli resultatet.Vi kliade oss i huvudet, sa Wosar. Kan de verkligen ha kört så här illa? DarkSide var ett av de mer professionella ransomware-as-a-service-systemen där ute. Att de gör ett så stort misstag är väldigt, väldigt sällsynt.
Jaktlaget firade tyst, utan att söka publicitet. White, som är datavetenskapsstudent vid Royal Holloway, en del av University of London, började leta efter DarkSide-offer. Hon kontaktade företag som hanterar digital kriminalteknik och incidentrespons.
Vi sa till dem, 'Hej, lyssna, om du har några DarkSide-offer, säg åt dem att kontakta oss; vi kan hjälpa dem. Vi kan återställa deras filer och de behöver inte betala en stor lösensumma, sa Wosar.
DarkSide-hackarna tog mestadels av sig julen. Gillespie och Wosar förväntade sig att när attackerna återupptogs under det nya året skulle deras upptäckt hjälpa dussintals offer. Men så publicerade Bitdefender sitt inlägg, under rubriken Darkside Ransomware Decryption Tool.
I en meddelandekanal med svarsgemenskapen för ransomware frågade någon varför Bitdefender skulle tipsa hackarna. Publicitet, svarade White. Ser bra ut. Jag kan garantera att de fixar det mycket snabbare nu.
Hon hade rätt. Nästa dag erkände DarkSide felet som Wosar och Gillespie hade hittat före Bitdefender. På grund av problemet med nyckelgenerering har vissa företag samma nycklar, skrev hackarna och tillade att upp till 40 % av nycklarna påverkades.
DarkSide hånade Bitdefender för att ha släppt dekrypteringsprogrammet vid fel tidpunkt ... eftersom aktiviteten hos oss och våra partners under nyårshelgerna är den lägsta.
För att lägga till lagets frustrationer upptäckte Wosar att Bitdefender-verktyget hade sina egna nackdelar. Med hjälp av företagets dekryptering försökte han låsa upp prover infekterade av DarkSide och fann att de skadades i processen. De implementerade faktiskt dekrypteringen fel, sa Wosar. Det betyder att om offren använde Bitdefender-verktyget, finns det en god chans att de skadade data.
På frågan om Wosars kritik sa Botezatu att dataåterställning är svårt och att Bitdefender har vidtagit alla försiktighetsåtgärder för att säkerställa att vi inte äventyrar användardata, inklusive uttömmande tester och kod som utvärderar om den resulterande dekrypterade filen är giltig.
Även utan Bitdefender kan DarkSide snart ha insett sitt misstag ändå, sa Wosar och Gillespie. Till exempel, när de sållade genom komprometterade nätverk, kan hackarna ha stött på e-postmeddelanden där offer som hjälpts av jaktlaget diskuterade felet.
De kan komma på det på det sättet - det är alltid en möjlighet, sa Wosar. Men det är särskilt smärtsamt om en sårbarhet bränns genom något dumt som detta.
Incidenten ledde till att jaktlaget myntade en term för för tidig exponering av en svaghet i en ransomware-stam. Internt skämtar vi ofta, 'Ja, de kommer förmodligen att dra en Bitdefender', sa Wosar.
Den här berättelsen publicerades tillsammans med ProPublica, ett ideellt nyhetsrum som utreder maktmissbruk. Renee Dudley och Daniel Golden har fokuserat på ransomware för ProPublica och arbetar på en bok om Ransomware Hunting Team, som ska publiceras nästa år av Farrar, Straus och Giroux.
Registrera dig för att ta emot ProPublicas största berättelser så fort de publiceras.