Un décrypteur a été publié pour les familles de rançongiciels Maze, Egregor et Sekhmet dans un autre signe que les cybercriminels sont secoués par les récentes mesures d’application de la loi.
Maze était autrefois considéré comme l’un des groupes de rançongiciels voleurs de données les plus actifs et notoires. Le gang, qui a commencé à opérer en mai 2019, a acquis de l’infamie pour avoir introduit le modèle de double extorsion, dans lequel les pirates exfiltrent d’abord les données d’une victime et menacent de publier les fichiers volés à moins que la rançon ne soit payée. Les groupes de ransomwares typiques infectent une victime avec des logiciels malveillants de cryptage de fichiers et conservent les fichiers en échange de crypto-monnaie.
Le groupe, qui a annoncé sa fermeture en novembre 2020, a fait plusieurs victimes de premier plan, dont Cognizant, Xerox, LG et Canon.
Egregor est apparu en septembre 2020 lorsque l’opération Maze a commencé à fermer et a utilisé la même technique de double extorsion que son prédécesseur. Bien qu’elle ait fait un certain nombre de victimes – dont Ubisoft, Barnes & Noble, Kmart et le système de métro de Vancouver – l’opération a été de courte durée, car plusieurs membres d’Egregor ont été arrêtés en Ukraine en février 2021.
Sekhmet, qui a été lancé en mars 2020, partage un certain nombre de similitudes avec Maze et Egregor. Bien qu’il soit apparu avant ce dernier, les chercheurs en cybersécurité ont observé des tactiques, une obfuscation, des appels d’API et des notes de rançon similaires entre les deux.
Mercredi, quelqu’un s’identifiant comme « Topleak », qui prétend être le développeur des trois opérations, a publié des clés de déchiffrement pour les trois familles de rançongiciels dans un message du forum Bleeping Computer.
« Puisque cela soulèvera trop d’indices et que la plupart d’entre eux seront faux, il est nécessaire de souligner qu’il s’agit d’une fuite planifiée et qu’elle n’a aucun lien avec les récentes arrestations et démontages », a déclaré Topleak, ajoutant qu’aucun des membres de leur équipe ne le ferait. jamais revenir au ransomware et qu’ils ont détruit tout le code source de leur ransomware.
Emsisoft, qui a confirmé que les clés de décryptage sont légitimes, a publié un décrypteur pour permettre à toutes les victimes de Maze, Egregor et Sekhmet de récupérer leurs fichiers gratuitement.
Brett Callow, expert en rançongiciels et analyste des menaces chez Emsisoft, a déclaré à TechCrunch que la publication des clés de déchiffrement est un autre signe que les cybercriminels sont secoués.
« Alors que le gang prétend que sa décision de libérer les clés n’a rien à voir avec les récentes arrestations de REvil – ouais, c’est vrai. La réalité est que leurs coûts et leurs risques augmentent tous les deux », a déclaré Callow. « Les ransomwares sont devenus un si gros problème parce que les cybercriminels ont pu opérer en toute impunité. Ce n’est plus le cas. Alors que le problème est loin d’être résolu, il y a maintenant beaucoup plus de « risque » dans le rapport risque/récompense. »