Ransomware news: risolvibili le criptazioni di Maze, Egregor e Sekhmet

Uno sviluppatore ransomware ha reso disponibili alla redazione della rivista specializzata in cyber security Bleeping Computer le master key per la risoluzione delle criptazioni effettuate dai ransomware Maze, Egregor e Sekhmet. 

Maze in breve
Le operazioni del ransomware Maze sono iniziate nel Maggio 2019 e, in pochi mesi, gli hanno valso il titolo di top ransomware. Maze è stata famiglia ransomware che ha introdotto il metodo della doppia estorsione, ovvero la modalità di ricatto con la quale alle vittime sono richiesti due riscatti: uno viene richiesto per la concessione del tool di decriptazione per riportare in chiaro i file, l'altro invece per evitare la pubblicazione dei dati rubati e la loro messa in vendita. All'origine c'è una nuova modalità di attacco: se fino a quel momento i ransomware si limitavano a criptare i ransomware presenti nei dispositivi e reti violate, con Maze la fase di criptazione viene preceduta da una fase di esfiltrazione dei dati. In breve, gli attaccanti prima rubano una copia dei dati, poi li criptano. 

Per approfondire> Come si ricatta un'azienda: il ransomware Maze colpisce la più grande azienda di sicurezza U.S.A e inizia l'incubo. Un nuovo paradigma per i ransomware?

Da Maze a Egregor

Nell'Ottobre del 2020 il gruppo di cyber attaccanti comunica la cessazione delle operazioni col ransomware Maze. La tregua dura pochissimo, perchè a Settembre il gruppo di ribrandizza: il gruppo Maze, diviene Egregor. Le operazioni di Egregor, per quanto di grande impatto, durano poco: l'intera rete degli affiliati di Maze migra su Egregor, che quindi già agli albori può contare su una vasta rete di affiiliati. Maze infatti era organizzato secondo il modello del Ransomware-as-a-service (SaaS). Le operazioni si interrompono dopo che un'operazione congiunta tra le forze dell'ordine ucraine e francesi porta in carcere gli sviluppatori del ransomware, che rimanevano comunque responsabili della gestione della pagina di pagamento e del sito di leak dove venivano pubblicati i dati delle vittime sotto ricatto. 

Per approfondire > Ascesa e caduta del ransomware Egregor: in arresto il team di sviluppatori e gestori

Sekmeth invece inizia le operazioni di diffusione nel Marzo 2020: Maze è ancora attivo. I legami tra le due famiglie ransomware sono però ricorrenti. Ad esempio Egregor utilizza parte del codice di Maze e presenta forti similitudini tra la nota di riscatto e i siti di pagamento dei due ransowmare. 

Master KEY released!
E' stato un utente sulla community di Bleeping Computer a rilasciare le master key: presentandosi come sviluppatore di tutte e tre le famiglie ransomware, l'utente ha reso disponibili

• 9 master key per la versione originale di Maze, quella ancora approntata per colpire utenti finali più che aziende;
• 30 master key per le versioni più recenti di Maze;
• 19 master key per Egregor;
• 1 master key per Sekhmet. 

Gli esperti di cybersecurity Gillespie e Wosar hanno proceduto a verificare la correttezza di queste chiavi, riscontrando come queste siano legittime e possano essere utilizzate per riportare in chiaro e senza danni i file criptati. 

La master key di Maze. Fonte: community di Bleeping Computer

Sei stato vittima di Maze, Egregor o Sekhmet?
Se tu stesso o qualcuno dei tuoi clienti è stato colpito da una di queste famiglie ransomware e attualmente non ha accesso a tutti o parte dei suoi dati, contatta i nostri esperti del servizio di risoluzione ransomware decyrptolocker.it. Riceverai tutta l'assistenza necessaria, nonchè misure di mitigazione e sicurezza informatica per evitare di subire nuovi attacchi.

Vai al sito https://www.decryptolocker.it o contattaci inviando una email a alessandro@nwkcloud.com inviandoci la nota di riscatto e almeno due file criptati.