Τα κύρια κλειδιά αποκρυπτογράφησης (master decryption keys) για τα ransomware Maze, Egregor και Sekhmet κυκλοφόρησαν χθες το βράδυ στα φόρουμ του BleepingComputer από χρήστη που ισχυρίζεται ότι είναι ο προγραμματιστής των malware.
Το ransomware Maze εμφανίστηκε το Μάιο του 2019 και γρήγορα ξεχώρισε καθώς οι χειριστές του ήταν αυτοί που ξεκίνησαν να κλέβουν δεδομένα πριν την κρυπτογράφηση των δικτύων και απειλούσαν ότι θα τα διαρρεύσουν αν δεν πληρώνονταν τα λύτρα. Αυτή η τεχνική που είναι γνωστή ως τεχνική διπλού εκβιασμού έχει τώρα υιοθετηθεί από τις περισσότερες συμμορίες ransomware.
Δείτε επίσης: Avast: Δωρεάν εργαλείο αποκρυπτογράφησης για τα θύματα του TargetCompany ransomware
Το Οκτώβριο του 2020 ανακοινώθηκε ότι η ransomware επιχείρηση Maze κλείνει, αλλά η συμμορία εμφανίστηκε ξανά με άλλο όνομα πλέον: Egregor. Aργότερα εξαφανίστηκε κι αυτό, μετά τη σύλληψη μελών στην Ουκρανία.
 για τα ransomware Maze, Egregor και Sekhmet κυκλοφόρησαν χθες το βράδυ στα){kind=link}
Η επιχείρηση Sekhmet ξεκίνησε τον Μάρτιο του 2020, ενώ η ομάδα Maze ήταν ακόμα ενεργή.
Κυκλοφόρησαν τα κύρια κλειδιά αποκρυπτογράφησης
Τα κλειδιά αποκρυπτογράφησης για αυτές τις ransomware λειτουργίες έχουν πλέον διαρρεύσει στα φόρουμ του BleepingComputer από έναν χρήστη με το όνομα “Topleak“, που ισχυρίζεται ότι είναι ο προγραμματιστής των παραπάνω malware.
Ο χρήστης ανέφερε ότι επρόκειτο για μια προγραμματισμένη διαρροή που δεν σχετίζεται με πρόσφατες επιχειρήσεις των αρχών επιβολής του νόμου.
“… είναι απαραίτητο να τονίσουμε ότι είναι μια προγραμματισμένη διαρροή και δεν έχει καμία σχέση με πρόσφατες συλλήψεις και το κλείσιμο servers“, εξήγησε ο φερόμενος ως προγραμματιστής ransomware.
Δείτε επίσης: Ψεύτικοι Windows 11 upgrade installers σας μολύνουν με malware RedLine
Είπε, επίσης, ότι κανένα από τα μέλη της ομάδας του δεν θα επιστρέψει στις ransomware επιχειρήσεις και ότι έχουν καταστρέψει τον source code για τα ransomware τους.
Η ανάρτηση περιλαμβάνει έναν σύνδεσμο λήψης για ένα αρχείο 7zip με τέσσερα αρχεία που περιέχουν τα κλειδιά αποκρυπτογράφησης για τα Maze, Egregor και Sekhmet και τον source code για ένα ‘M0yv’ malware που χρησιμοποιείται από τη συμμορία ransomware.
RSA-2048 master decryption keys για κάθε ransomware επιχείρηση:
- Maze: 9 master decryption keys για το αρχικό κακόβουλο λογισμικό που στόχευε μη εταιρικούς χρήστες.
- Maze: 30 master decryption keys.
- Egregor: 19 master decryption keys.
- Sekhmet: 1 master decryption key.
Ο Michael Gillespie και ο Fabian Wosar της Emsisoft εξέτασαν τα κλειδιά αποκρυπτογράφησης και επιβεβαίωσαν στο BleepingComputer ότι είναι νόμιμα και μπορούν να χρησιμοποιηθούν για την αποκρυπτογράφηση αρχείων.
Δείτε επίσης: ESET: Ποιες ήταν οι πιο δημοφιλείς μέθοδοι επίθεσης το 2021;
Η Emsisoft έχει, επίσης, κυκλοφορήσει ένα εργαλείο αποκρυπτογράφησης που επιτρέπει σε όλα τα θύματα των Maze, Egregor και Sekhmet να ανακτήσουν τα κρυπτογραφημένα αρχεία τους δωρεάν.
Για να χρησιμοποιήσουν το εργαλείο, τα θύματα θα χρειαστούν το σημείωμα λύτρων που δημιουργήθηκε κατά τη διάρκεια της επίθεσης, καθώς περιέχει το encrypted decryption key.
M0yv malware: Διέρρευσε ο source code
Το αρχείο περιλαμβάνει επίσης τον source code για το M0yv ‘modular x86/x64 file infector’ που αναπτύχθηκε από τους χειριστές του Maze ransomware και χρησιμοποιήθηκε σε επιθέσεις.
Πηγή: Bleeping Computer