Denne uken har noen publisert masternøklene til tre familier av løsepengevirus kalt Maze, Sekhmet og Egregor.
Nøklene, som gjør det mulig å låse opp ofrenes nedlåste filer, ble delt av en anonym bruker som kaller seg «Topleak» i forumet til nettstedet Bleeping Computer.
Vedkommende oppgir å være utvikleren bak skadevaren. Noe motiv eller beveggrunner for hvorfor nøklene deles, fremgår ikke av innlegget.
Forfatteren hevder at dette er en planlagt lekkasje, igjen uvisst av hvilken grunn, som angivelig ikke skal ha noe med den siste tidens politiaksjoner og pågripelser av mistenkte cyberkriminelle å gjøre.
Gir ut dekrypteringsverktøy
I går fulgte antivirus-leverandør Emsisoft opp lekkasjen ved å utgi et eget gratisverktøy som skal kunne låse opp ofrenes filer.
Det er påkrevd å ha en kopi av løsepenge-notatet for å kunne dekryptere innholdet, ifølge en tilhørende oppskrift.
We've just released a decryptor for three of the most prolific ransomware strains of recent times: Maze, Sekhmet and Egregor. #NoMoreRansom 1/2https://t.co/h4crlZageM
— Emsisoft (@emsisoft) February 9, 2022
Har trolig samme opphav
Maze dukket opp i mai 2019. Det er blant de første kryptovirusene som tok i bruk såkalt «dobbel utpressing», der ofrene ble truet med lekkasje av stjålne filer hvis de nektet å samarbeide. En teknikk som siden er kopiert av mange andre.
1. november 2020 varslet Maze nedleggelse. Gruppas nettsted for lekkasjer og uthenging av ofre forsvant. På samme tid dukket Egregor opp, som mange sikkerhetseksperter mener er arvtakeren, eller en rebranding av virksomheten. I februar 2021 ble flere mistenkte medlemmer pågrepet i Ukraina, som ledd i en aksjon der franske og ukrainske politimyndigheter samarbeidet.
Sekhmet er noe eldre, men regnes som en nær slektning av dem begge. Det å gjenoppfinne seg selv og bytte identitet eller merkevare på skadevaren er vanlig blant cyberkriminelle. Det er blant de eldste triksene i boka, ifølge sikkerhetsspaltist Brian Krebs, som har lagd en grafisk fremstilling av slektskapet mellom en rekke ulike kryptovirus.
Det bør kanskje tas i betraktning ved vurderinger av troverdigheten til «Topleak», som i innlegget sitt påstår at alle team-medlemmene har gitt seg for godt og aldri mer vil returnere til slike aktiviteter.
Fant sårbarheter i farlig utpressingsvirus – dekrypterte filene