Le cybercriminel « Xinof » a fait une tentative de repentance sur Twitter : il a publié la clé maître du rançongiciel Fonix, ainsi qu'un outil censé lever le chiffrement. Problème : ce dernier ne fonctionne pas, et les victimes devront attendre que des chercheurs en cybersécurité construisent un outil efficace.

Querelles internes, retraite après avoir décroché le jackpot, craintes d’une arrestation… Les raisons derrière l’arrêt d’une activité cybercriminelle peuvent être nombreuses. Sur Twitter, « Xinof », un des administrateurs du rançongiciel FonixCrypter, a préféré expliquer la fin de son organisation par ses considérations éthiques.

Dans un anglais hésitant, il écrit : « Le projet a démarré seulement à cause d’une mauvaise situation économique. Mais ce n’était pas ce que mon cœur voulait. Maintenant, après avoir terminé le Projet, je peux dormir sans me sentir coupable. » Pour accompagner cette déclaration de conscience, il a publié plusieurs documents destinés à réparer les dégâts causés par le rançongiciel.

Loin d’avoir la taille ou le volume d’activité des plus gros gangs, Fonix, repéré pour la première fois en juin 2020, n’en restait pas moins une véritable plaie pour ses victimes. Comme tout rançongiciel, il chiffrait les données des ordinateurs qu’il parvenait à infecter, avec de terribles conséquences pour les organisations victimes : ralentissement de la production, arrêt des communications, lecture impossible de documents confidentiels… Le gang offrait le déblocage de la situation à l’aide d’une clé de déchiffrement en échange du paiement d’une rançon.

L’administrateur de Fonix veut se repentir. // Source : Louise Audry pour Numerama

Grâce aux messages publiés par l’administrateur repenti, même ceux qui n’ont pas payé devraient pouvoir débloquer leurs ordinateurs. Mais ce n’est pas pour tout de suite : si le cybercriminel a publié un outil de déchiffrement, ce dernier ne fonctionne par correctement, d’après le Bleeping Computer, qui a effectué plusieurs tests. En revanche, il a aussi publié un autre fichier bien plus intéressant : la clé maître utilisée par les malfrats pour leur chiffrement. Celle-ci va permettre aux spécialistes de créer un outil, appelé « décrypteur », capable de casser tous les différents chiffrements utilisés par Fonix.

Tous les partenaires de crime ne l’ont pas suivi dans sa tentative de repentance. « Certains membres de l’équipe se sont opposés à la fermeture du projet, comme l’administrateur de notre chaîne Telegram qui essaye maintenant d’arnaquer les membres de la chaîne en vendant de fausses sources et de fausses données », écrit-il.

Il rappelle que malgré ces désaccords, tous les documents relatifs au malware ont été supprimés, et que les anciens membres rebelles ne les ont pas.

Le gang était-il capable de lever son propre chiffrement ?

Preuve du relatif amateurisme de Fonix par rapport aux plus grands gangs du secteur, le « décrypteur » publié par « Xinof », utilisé par les malfrats en interne, ne fonctionne donc pas correctement. Les délinquants s’en servaient pourtant pour prouver à leurs victimes qu’ils étaient capables d’inverser le chiffrement à partir d’un petit échantillon.

Non seulement cet outil ne fonctionne pas sur un ordinateur entier, mais en plus il ne fonctionne pas correctement même sur un faible volume de fichier. De quoi s’interroger sur les capacités réelles du gang à lever correctement leur propre chiffrement…

Désormais, les victimes vont devoir attendre le travail de Michael Gilespie, aussi connu sous le pseudo « @demonslay335 » pour les centaines de décrypteurs gratuits qu’il a publié. C’est de lui que viendra le déblocage.

Crédit photo de la une : CCO/PxHere

À propos de CyberGhost

CyberGhost, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium aux tarifs accessibles. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. CyberGhost ne conserve aucune trace de l'activité des utilisateurs. Son application VPN est disponible sur tous les systèmes d’exploitation et appareils connectés et se révèle la plus facile d'accès du marché.

En savoir plus sur la solution VPN de CyberGhost

Partager sur les réseaux sociaux