Les auteurs du Ransomware Shade mettent un terme à leurs opérations. L’annonce s’accompagne de la publication de plus de 750 000 clés de déchiffrement. En sus, les cybercriminels présentent leurs excuses pour le préjudice causé à leurs victimes.
Le Ransomware Shade est en service depuis environ 2014. À la différence d’autres familles de rançongiciels qui évitent de chiffrer les postes de travail de tiers en Russie et dans d’autres pays de l’ex-URSS, Shade ciblait ceux de personnes en Russie et en Ukraine.
Michael Gillespie, créateur du site d’identification de ransomware ID Ransomware rapporte que les requêtes d’information liées à ce dernier étaient régulières au fil des ans, ce, jusqu’à la fin de l’année précédente où elles ont commencé à baisser. La récente création d’un dépôt GitHub révèle la cause de cette diminution. De façon ramassée, les auteurs du rançongiciel font savoir qu’ils ont arrêté de mener des attaques à la fin de l’année 2019.
« Nous sommes l’équipe qui a créé un cheval de Troie principalement connu sous le nom de Shade, Troldesh ou Encoder.858. En fait, nous avons arrêté sa distribution fin 2019. Nous avons maintenant décidé de mettre un point final à cette histoire et de publier toutes les clés de déchiffrement en notre possession (plus de 750 000 en tout). En sus, nous procédons à la publication de notre logiciel de déchiffrement. Nous espérons également qu’une fois en possession des clés de déchiffrement, les éditeurs d’antivirus seront à même de publier des outils de déchiffrement plus conviviaux. Toutes les autres données en lien avec notre activité (y compris le code source du cheval de Troie) ont été détruites de façon irrévocable. Nous nous excusons auprès de toutes les victimes du cheval de Troie et espérons que les clés que nous avons publiées les aideront à récupérer leurs données », précisent-ils.
Grosso modo, le dépôt GitHub contient 5 clés de déchiffrement maîtresses, plus de 750 000 clés de déchiffrement individuelles, des instructions sur la façon de s’en servir et un lien vers leur logiciel de déchiffrement. D’après le chercheur en sécurité Sergei Golovanov de la firme Kaspesky, les contenus sont authentiques.
« Nous sommes l’équipe qui a créé un cheval de Troie principalement connu sous le nom de Shade, Troldesh ou Encoder.858. En fait, nous avons arrêté sa distribution fin 2019. Nous avons maintenant décidé de mettre un point final à cette histoire et de publier toutes les clés de décryptage que nous avons (…). Nous nous excusons auprès de toutes les victimes du cheval de Troie et espérons que les clés que nous avons publiées les aideront à récupérer leurs données », expliquent-ils sur GitHub.
Reste à savoir pourquoi les opérateurs de Shade se retirent de cette façon. Ont-ils amassé suffisamment de bitcoins pour finir leur vie sur des plages de sable blanc ? Ont-ils été coincés par les services secrets russes, le FSB ?
Selon BleepingComputer, Shade ciblait principalement des victimes en Russie et en Ukraine, ce qui est plutôt rare. Beaucoup de ransomwares sont d’origine russe et évitent d’infecter des victimes russophones. Bref, le mystère est entier…
source : developpez, 01net