Le gang derrière le ransomware FonixCrypter a annoncé son intention de mettre fin à ses activités cybercriminelles après avoir été actif pendant des mois. Les analyses effectuées par le chercheur en sécurité russe Andrew Ivanov démontrent que le groupe de cybercriminalité opère depuis au moins juin 2020.
Dans une déclaration sur Twitter, un porte-parole de FonixCrypter expose la nouvelle résolution prise par les administrateurs du groupe. « Nous sommes arrivés à la conclusion. Nous devons utiliser nos capacités de manière positive et aider les autres » peut-on lire dans la publication.
« Certains membres de l’équipe ne sont pas d’accord avec la fermeture du projet, comme l’administrateur de la chaîne Telegram qui essaie d’escroquer les gens en vendant de fausses sources et données » a-t-il ajouté.
La clé de décryptage principale publiée
Bien que certains membres du gang ne veuillent pas arrêter, FonixCrypter va quand même fermer. Le groupe aurait déjà supprimé le code source du ransomware.
Dans le même temps, les pirates ont libéré la clé de décryptage principale du logiciel de rançon, donnant ainsi aux anciennes victimes la possibilité de décrypter leurs fichiers gratuitement. Cela a été accompagné d’un outil de décryptage et d’instructions sur la manière de récupérer les fichiers.
FonixCrypter aurait en outre mis hors circuit sa chaîne Telegram. Il a toutefois été indiqué que le groupe en ouvrira bientôt une nouvelle.
Un meilleur outil de décryptage en vue
Après avoir testé le décrypteur, le chercheur en sécurité Allan Liska a confirmé que l’outil fonctionne réellement. « La clé de décryptage fournie par les acteurs derrière le logiciel de rançon Fonix semble être légitime, car elle exige que chaque fichier soit décrypté individuellement » a déclaré l’employé de la société de renseignement sur les menaces, Recorded Future à ZDNet.
Selon Liska, il est également possible de « construire un bien meilleur outil de décryptage » à partir de la clé qui a été divulgué.
Emsisoft essaye d’ailleurs d’en élaborer en ce moment. Si l’on en croit le spécialiste en décryptage des logiciels de rançon Michael Gillespie, le décrypteur d’Emsisoft, qui sera capable de décrypter toutes les versions du ransomware, devrait normalement être mis en ligne dans le courant de cette semaine.