Des pirates prennent leur retraite et livrent les clés pour déchiffrer les données de leurs victimes

30 avril 2020 à 08h20
4
attaque-informatique-piratage.jpg © Pixabay
© Pixabay

Les opérateurs du ransomware Shade ont décidé de tirer leur révérence en permettant à leurs nombreuses victimes de récupérer leurs données.

Certains hackers croient-ils en la rédemption ? On pourrait le penser en lisant un post hébergé sur GitHub il y a quelques jours. Des pirates informatiques, qui prétendent être les opérateurs des rançongiciels Shade, Trodelsh ou Encoder.858, ont mis en ligne plus de 750 000 clés de chiffrement. Et les désormais retraités du hacking ont aussi publié leur logiciel de décryptage, notamment à destination des services antivirus . Trop beau pour être vrai ? Non msieurs-dames ! Tout est bien réel.

Des excuses adressées aux victimes

Alors que le cheval de Troie que le groupe a créé n'est plus diffusé depuis fin 2019, le retrait de ses membres du monde du piratage ne s'est pas fait dans la discrétion. Ces derniers ont souhaité faire un cadeau à leurs centaines de milliers de victimes en permettant le déchiffrement des fichiers consignés.

En publiant dans la foulée le logiciel de déchiffrement, les pirates ont fait d'une pierre deux coups, portés par leur bonté crépusculaire. "Nous espérons qu'avec les clés, les sociétés d'antivirus publieront leurs propres outils de décryptage plus conviviaux", écrivent les pirates qui vont même jusqu'à s'excuser "auprès de toutes les victimes du cheval de Troie", espérant que les clés publiées "les aideront à récupérer leurs données."

Les motifs de l'acte bienveillant encore incertains

Le groupe de cybercriminels a ainsi publié la totalité des clés via plusieurs liens, qui hébergent des fichiers .exe zippés. On note d'ailleurs l'aspect précautionneux et prévenant de la chose. "Certains logiciels publiés sont détectés par certains antivirus car ils utilisent des blocs de code communs avec le chiffreur. Pour éviter leur suppression, tous les fichiers .exe ont été zippés avec le même mot de passe : 123454321", explique le groupe.

Mais autant de bienveillance, voilà qui pourrait être suspect, surtout provenant d'acteurs chevronnés du hacking. Mais il n'en est rien. Le chercheur en cybersécurité de Kaspersky, Sergey Golovanov, l'a lui même confirmé sur Twitter. "Et oui. Les clés sont réelles. Je viens de vérifier."

D'autres spécialistes, sur la toile, pensent que quelque chose se cache derrière cet acte de générosité. Différentes hypothèses circulent.

Certains pensent que le groupe du ransomware Shade s'est fait doubler par un collectif de cybercriminels. D'autres imaginent une intervention des services secrets russes, Shade ayant traqué ses proies en Russie et en Ukraine. Le rançongiciel, qui devrait donc définitivement disparaître, laissera la place à de vifs successeurs, parmi lesquels Maze ou Sodinokibi.

Modifié le 26/11/2020 à 09h10
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
4
4
Voir tous les messages sur le forum

Actualités du moment

Trafic aérien : -53% en mars, plus forte baisse de l'histoire moderne
Dying Light aura droit a un nouveau DLC cet été : Hellraid
Le Google Pixel 4a disponible le 22 mai ?
Xiaomi développe des masques de protection compatibles avec le déverrouillage facial des smartphones
Le célèbre casque Sony WH-1000XM3 voit son prix chuter
PS Plus : Cities Skyline et Farming simulator 2019 sont les jeux du mois de mai
Redmi lancera ses Note 9 à 14h : suivez la conférence en direct
Ubisoft dévoile Assassin's Creed Valhalla
Deep Rock Galactic se lancera enfin sur PC et Xbox One le 13 mai
Haut de page