Querelles internes, retraite après avoir décroché le jackpot, craintes d’une arrestation… Les raisons derrière l’arrêt d’une activité cybercriminelle peuvent être nombreuses. Sur Twitter, « Xinof », un des administrateurs du rançongiciel FonixCrypter, a préféré expliquer la fin de son organisation par ses considérations éthiques.
Dans un anglais hésitant, il écrit : « Le projet a démarré seulement à cause d’une mauvaise situation économique. Mais ce n’était pas ce que mon cœur voulait. Maintenant, après avoir terminé le Projet, je peux dormir sans me sentir coupable. » Pour accompagner cette déclaration de conscience, il a publié plusieurs documents destinés à réparer les dégâts causés par le rançongiciel.
Loin d’avoir la taille ou le volume d’activité des plus gros gangs, Fonix, repéré pour la première fois en juin 2020, n’en restait pas moins une véritable plaie pour ses victimes. Comme tout rançongiciel, il chiffrait les données des ordinateurs qu’il parvenait à infecter, avec de terribles conséquences pour les organisations victimes : ralentissement de la production, arrêt des communications, lecture impossible de documents confidentiels… Le gang offrait le déblocage de la situation à l’aide d’une clé de déchiffrement en échange du paiement d’une rançon.
Grâce aux messages publiés par l’administrateur repenti, même ceux qui n’ont pas payé devraient pouvoir débloquer leurs ordinateurs. Mais ce n’est pas pour tout de suite : si le cybercriminel a publié un outil de déchiffrement, ce dernier ne fonctionne par correctement, d’après le Bleeping Computer, qui a effectué plusieurs tests. En revanche, il a aussi publié un autre fichier bien plus intéressant : la clé maître utilisée par les malfrats pour leur chiffrement. Celle-ci va permettre aux spécialistes de créer un outil, appelé « décrypteur », capable de casser tous les différents chiffrements utilisés par Fonix.
Tous les partenaires de crime ne l’ont pas suivi dans sa tentative de repentance. « Certains membres de l’équipe se sont opposés à la fermeture du projet, comme l’administrateur de notre chaîne Telegram qui essaye maintenant d’arnaquer les membres de la chaîne en vendant de fausses sources et de fausses données », écrit-il.
Il rappelle que malgré ces désaccords, tous les documents relatifs au malware ont été supprimés, et que les anciens membres rebelles ne les ont pas.
Le gang était-il capable de lever son propre chiffrement ?
Preuve du relatif amateurisme de Fonix par rapport aux plus grands gangs du secteur, le « décrypteur » publié par « Xinof », utilisé par les malfrats en interne, ne fonctionne donc pas correctement. Les délinquants s’en servaient pourtant pour prouver à leurs victimes qu’ils étaient capables d’inverser le chiffrement à partir d’un petit échantillon.
Non seulement cet outil ne fonctionne pas sur un ordinateur entier, mais en plus il ne fonctionne pas correctement même sur un faible volume de fichier. De quoi s’interroger sur les capacités réelles du gang à lever correctement leur propre chiffrement…
Désormais, les victimes vont devoir attendre le travail de Michael Gilespie, aussi connu sous le pseudo « @demonslay335 » pour les centaines de décrypteurs gratuits qu’il a publié. C’est de lui que viendra le déblocage.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !