Il bug individuato nel ransomware BlackMatter che ha permesso di neutralizzare gli hacker

Se BlackMatter può non suggerire molto attualmente, DarkSide è tutta un altra storia. Quest’ultimo, infatti, è stato responsabile dell’attacco hacker a Colonial Pipeline dello scorso giugno che ha messo in ginocchio una delle maggiori infrastrutture economiche ed energetiche degli Stati Uniti. BlackMatter altro non è che una nuova versione di DarkSide con un nome diverso. In circolo da luglio, questo ransomware è stato aggirato da esperti di cybersecurity che – avendo individuato un bug BlackMatter – sono riusciti a rendere nulla l’azione degli hacker per chiedere soldi una volta infettati i dispositivi delle vittime.

LEGGI ANCHE >>> Attacco hacker alla San Carlo, il gruppo di hacker CONTI ha a disposizioni patenti e passaporti

Il bug BlackMatter che ha permesso di fermare i cyber criminali

Gli hacker che avevano programmato attacchi con questo ransomware hanno perso milioni di dollari di riscatto perché alcuni esperti di cyber security di Emsisoft – società di software antivirus con sede in Nuova Zelanda – sono riusciti a trovare un bug. Il risultato è stato tenuto segreto finché non sono state distribuire alle vittime le chiavi di decrittazione ottenute grazie all’individuazione di errori nel codice.

Il risultato è che chi era stato colpito non ha dovuto pagare il riscatto per riavere indietro i dati bloccati dal ransomware. I dati sulle ricerche che hanno portato all’individuazione del bug sono stati resi noto solo una volta consegnate le chiavi alle vittime. Dopo l’attacco a Pipeline, la Casa Bianca ha provato a neutralizzare gli hacker che però non si sono fatti scoraggiare nonostante fossero nel mirino del governo Usa.

Come è avvenuta l’individuazione del bug

I ricercatori neozelandesi, riporta ZDNet, hanno individuato già lo scorso dicembre un errore nella versione Windows del ransomware – che allora era DarkSide – che è poi stato corretto dagli hacker nel mese di gennaio. Il gruppo ransomware, però, ha poi commesso un errore simile anche con BlackMatter (nello specifico nel payload) che è stato sfruttato per permettere alle vittime di recuperare i file compromessi senza dover pagare un riscatto. Emsisoft ha provato a fornire la chiave alle vittime in ogni modo impedendo ai cyber criminali di guadagnare decine di milioni di dollari.

Il gruppo hacker non ci ha messo molto a scoprire dove fosse la falla e, alla fine, ha posto rimedio. «BlackMatter avrà probabilmente sospettato che qualcosa non andava quando le loro entrate hanno iniziato a diminuire – spiega l’analista di Emisoft Brett Callow – Purtroppo, è inevitabile che le bande si rendano conto di avere un problema in queste situazioni». In sostanza si tratta di una corsa all’individuazione della falla e alla correzione dell’errore infinita che vede schierati da una parte i cyber criminali e dall’altra gli esperti di cyber security.

Serve collaborazione tra privato e pubblico per minare ai guadagni degli hacker

«Tutto quello che possiamo fare è lavorare rapidamente e silenziosamente per aiutare il maggior numero di vittime», sostiene Callow, non mancando di specificare che la collaborazione tra settore pubblico e settore privato per combattere le minacce ransomware e limitare i guadagni è fondamentale: «Lavorando insieme, possiamo creare seri danni alla redditività dei crimini cibernetici, e questo è un elemento chiave nel combattere il problema del ransomware.

La migliore reazione rimane sempre la prevenzione ovvero, in prima battuta, evitare di essere vittime di un attacco ransomware che si rivelerà di difficile gestione a meno di non accettare di pagare un ricatto (e nemmeno in quel caso è garantito che i dati non vengano comunque resi pubblici o corrotti).