Le chiavi di decrittazione principali per le operazioni delle famiglie di ransomware Maze, Egregor e Sekhmet sono state rilasciate sui forum BleepingComputer dal presunto sviluppatore di malware.
Il gruppo Maze, attivo da maggio 2019, è stato considerato una delle operazioni di ransomware più famose in quanto responsabile dell’uso di tattiche di furto di dati e doppia estorsione ora utilizzate da molti gruppi ransomware.
Nell’ottobre 2020 Maze ha annunciato la sua chiusura e a settembre ha rinominato Egregor, che in seguito è scomparso dopo che i membri sono stati arrestati in Ucraina .
L’operazione Sekhmet è stata lanciata nel marzo 2020, mentre Maze era ancora attiva.
A distanza di 14 mesi, le chiavi di decrittazione per queste operazioni sono state trapelate nei forum di BleepingComputer da un utente chiamato “Topleak” che afferma di essere lo sviluppatore di tutte e tre le operazioni.
Il presunto sviluppatore ha affermato che si tratta di una fuga di notizie pianificata e non è collegata alle recenti operazioni delle forze dell’ordine che hanno portato al sequestro di server e all’arresto di affiliati di ransomware.
Ha inoltre sottolineato che nessuno dei membri della banda tornerà mai al ransomware e che hanno distrutto tutto il codice sorgente del loro ransomware.
Il post include un collegamento per il download di un file 7zip con quattro archivi contenenti le chiavi di decrittazione Maze, Egregor e Sekhmet e il codice sorgente di un malware “M0yv” utilizzato dalla banda di ransomware.
Ciascuno di questi archivi contiene la chiave di crittografia principale pubblica e la chiave di decrittazione principale privata associata a uno specifico “annuncio” o affiliato dell’operazione ransomware.
Il numero totale di chiavi di decrittazione rilasciate sono 59.
I ricercatori di malware Michael Gillespie e Fabian Wosar di Emsisoft hanno esaminato le chiavi di decrittazione e hanno confermato a BleepingComputer che sono legittime e possono essere utilizzate per decrittografare i file crittografati dalle tre famiglie di ransomware.
Gillespie ha comunicato che le chiavi vengono utilizzate per decrittare le chiavi crittografate di una vittima che sono incorporate in una richiesta di riscatto.
Emsisoft ha rilasciato un decryptor per consentire a tutte le vittime di Maze, Egregor e Sekhmet che stavano aspettando di recuperare i propri file gratuitamente. Per utilizzare il decryptor, le vittime avranno bisogno di una richiesta di riscatto creata durante l’attacco in quanto contiene la chiave di decrittazione crittografata.
