Ein Entschlüsseler wurde für die Ransomware-Familien Maze, Egregor und Sekhmet veröffentlicht, ein weiteres Zeichen dafür, dass Cyberkriminelle von den jüngsten Maßnahmen der Strafverfolgungsbehörden verunsichert sind.
Maze galt einst als eine der aktivsten und berüchtigtsten Ransomware-Gruppen, die Daten stehlen. Die Bande, die im Mai 2019 ihre Tätigkeit aufnahm, erlangte Verruf durch die Einführung des Modells der doppelten Erpressung, bei dem Hacker zunächst die Daten eines Opfers exfiltrieren und damit drohen, die gestohlenen Dateien zu veröffentlichen, wenn das Lösegeld nicht bezahlt wird. Typische Ransomware-Gruppen infizieren ein Opfer mit dateiverschlüsselnder Malware und halten die Dateien im Austausch gegen Kryptowährung.
Die Gruppe, die ihre Schließung im November 2020 ankündigte, forderte eine Reihe hochkarätiger Opfer, darunter Cognizant, Xerox, LG und Canon.
Egregor tauchte im September 2020 auf, als die Maze-Operation eingestellt wurde, und wandte dieselbe doppelte Erpressungstechnik wie sein Vorgänger an. Trotz der Forderung nach einer Reihe von Opfern – darunter Ubisoft, Barnes & Noble, Kmart und das U-Bahn-System von Vancouver – war die Operation nur von kurzer Dauer, da mehrere Mitglieder von Egregor im Februar 2021 in der Ukraine festgenommen wurden.
Sekhmet, das im März 2020 auf den Markt kam, weist eine Reihe von Ähnlichkeiten mit Maze und Egregor auf. Obwohl es vor letzterem auftauchte, haben Cybersicherheitsforscher ähnliche Taktiken, Verschleierung, API-Aufrufe und Lösegeldforderungen zwischen den beiden beobachtet.
Am Mittwoch veröffentlichte jemand, der sich als „Topleak“ identifizierte und behauptet, der Entwickler für alle drei Operationen zu sein, Entschlüsselungsschlüssel für alle drei Ransomware-Familien in a Bleeping Computer Forumsbeitrag.
„Da es zu viele Hinweise geben wird und die meisten davon falsch sein werden, muss betont werden, dass es sich um ein geplantes Leck handelt und es keine Verbindung zu den jüngsten Verhaftungen und Abschaltungen gibt“, sagte TopLeak und fügte hinzu, dass keines ihrer Teammitglieder dies tun werde jemals zu Ransomware zurückkehren und dass sie den gesamten Quellcode ihrer Ransomware zerstört haben.
Emsisoft hat bestätigt, dass die Entschlüsselungsschlüssel legitim sind hat einen Entschlüsseler veröffentlicht um es allen Opfern von Maze, Egregor und Sekhmet zu ermöglichen, ihre Dateien kostenlos wiederherzustellen.
Brett Callow, Ransomware-Experte und Bedrohungsanalyst von Emsisoft, sagte gegenüber Tech, dass die Veröffentlichung der Entschlüsselungsschlüssel ein weiteres Zeichen dafür ist, dass Cyberkriminelle verunsichert sind.
„Während die Bande behauptet, ihre Entscheidung, die Schlüssel herauszugeben, habe nichts mit den jüngsten Verhaftungen von REvil zu tun – ja, richtig. Die Realität ist, dass sowohl ihre Kosten als auch ihre Risiken steigen“, sagte Callow. „Ransomware wurde zu einem so großen Problem, weil Cyberkriminelle nahezu ungestraft agieren konnten. Das ist nicht mehr der Fall. Das Problem ist zwar noch lange nicht gelöst, aber das Risiko-Rendite-Verhältnis ist jetzt viel risikoreicher.“