Le chiavi di decrittazione principali per il ransomware Maze, Egregor e Sekhmet sono state pubblicate sul forum di discussione di BleepingComputer, il post ha scoperto.
Il sito ha condiviso i file contenenti le chiavi con gli studiosi di sicurezza informatica Michael Gillespie e Fabian Wosar di Emsisoft, che da allora ne hanno confermato l'autenticità.
In un post sul blog di un utente di nome Toppleak, afferma che la fuga di notizie era stata pianificata e non era in alcun modo correlata ai recenti arresti. L'anno scorso, sospetti membri del gruppo ransomware Egregor (precedentemente noto come Maze) sono stati arrestati in Ucraina. I nomi dei sospetti non sono stati rilasciati, ma le forze dell'ordine hanno affermato di aver fornito "supporto informatico, logistico e finanziario per l'hacking" al gruppo Egregor.
Chiavi di decrittazione principali disponibili
Toppleak ha aggiunto che il gruppo "non tornerà mai più a questo tipo di attività", osservando che il suo tempo per saccheggiare le società era finito. Allo stesso modo, tutto il codice sorgente di ognuno degli strumenti utilizzati nella sua campagna è stato cancellato.
"Non dimenticare mai che tutto ciò che percepisci è solo il sogno di Dio. Completa il tuo lavoro. Il lavoro è finito.
I file pubblicati nel forum di discussione includono nove chiavi di decrittazione principali per il malware Maze originale destinato agli utenti, trenta chiavi di decrittazione principali per il malware Maze rivolto alle aziende, diciannove chiavi di decrittazione principali per Egregor e una chiave di decrittazione per Sekhmet.
Le chiavi vengono utilizzate per decrittare le chiavi crittografate normalmente presenti nel messaggio di riscatto, quindi dalla violazione.
Tra i file postati sul forum di discussione c'è anche il codice sorgente del "modular x86/64 file infector" M0yv, che gli operatori di Maze hanno utilizzato in precedenti attacchi.
"Esiste anche un codice sorgente alquanto innocuo dell'infettatore di file modulare x86/x64 m0yv EPO rilevato in natura come virus Win64/Expiro, ma non è realmente scaduto, ma i motori AV lo avvertono in questo modo, quindi non ha niente in comune con gazavat”, afferma il post.
"La fonte M0yv è un vantaggio, poiché da anni non esiste un codice sorgente software residente essenziale, quindi eccoci qui."
Via: BleepingComputer