Un développeur pirate les auteurs d'un ransomware et vole les clés de déchiffrement

 
Une victime du ransomware (ou rançongiciel) Muhstik a payé les pirates afin de déchiffrer ses données, puis a procédé à un autre type de transaction : il s’est vengé en piratant le serveur et en volant les clés de déchiffrement, dans le seul but de les divulguer gratuitement à ceux qui en avaient besoin.
Les attaques de ransomware réussies finissent rarement sur une note positive. Même si la victime paie la rançon et reçoit une clé pour déchiffrer le contenu, c’est toujours une perte considérable de temps et d’argent. Mais au moins, dans ce cas-ci, la victime a réussi à perturber le mode d’action des pirates.
Le développeur de logiciels Tobias Frömel a expliqué que son serveur QNAP TVS vNAS avait été compromis par le ransomware Muhstik. Au total, 14 téraoctets de données ont été chiffrées et il a choisi de payer une rançon de 670 € pour les récupérer.
«Le ransomware Muhstik serait utilisé pour cibler les périphériques QNAP NAS. Les appareils utilisant des mots de passe de serveur SQL faibles et exécutant phpMyAdmin peuvent être plus vulnérables aux attaques », explique le communiqué de QNAP. “Nous recommandons vivement aux utilisateurs d’agir immédiatement pour protéger leurs données contre d’éventuelles attaques de logiciels malveillants.”
Les pirates qui s’en sont pris à Frömel ont eu recours à la force brute pour contourner les identifiants de phpMyAdmin, et la voie était libre. Après avoir payé la rançon, Tobias a compris qu’il pouvait riposter en récupérant la base de données sur le serveur des cybercriminels, qui contenait 2 858 clés de déchiffrement.
Le développeur a publié toutes les clés sur Pastebin et créé un outil de déchiffrement pour toutes les personnes affectées par le ransomware. Les actions de Frömel étaient techniquement illégales, mais il a depuis contacté les autorités.