Shade, un opérateur de rançongiciel qui œuvre depuis 2014, a officialisé l'arrêt de son activité. Pour accompagner sa retraite, le groupe de hackers a publié 750 000 clés de déchiffrement. Si les entreprises victimes savent les utiliser, elles pourront récupérer les données compromises par les pirates.

Un rançongiciel vieux de plus de cinq ans part à la retraite. Les développeurs de Shade — aussi connu sous les noms Troldelsh et Encoder.858 — ont officialisé l’arrêt de leur activité sur GitHub, dans un message repéré par le Bleeping Computer. Pour marquer le coup, ils ont publié plus de 750 000 clés de déchiffrements, utilisées pour lever la compromission des données des entreprises victimes.

Et ce n’est pas tout, ils se sont aussi assurés que le code de leur logiciel malveillant ne serait pas plus diffusé : « toutes les données liées à notre activité (y compris les codes sources de chevaux de Troie), ont été détruites de manière irrévocable. Nous présentons nos excuses aux victimes du cheval de Troie et nous espérons que les clés que nous avons publiées aideront à récupérer les données. »

Voici une des clés de déchiffrement publiée par Shade, elle compte plusieurs dizaines de ligne // Source : Capture d’écran sur GitHub

750 000 clés, mais encore faut-il savoir les utiliser

Si l’opérateur publie gracieusement les clés de déchiffrement, encore faut-il avoir les compétences pour les utiliser, et sur ce point, les malfaiteurs n’hésitent pas à en appeler aux éditeurs d’antivirus : «  Malheureusement, utiliser notre outil de déchiffrement n’est pas le plus simple, et les victimes pourraient avoir des soucis à le faire fonctionner correctement. Nous espérons qu’en disposant des clés, les entreprises d’antivirus publieront leurs propres outils de déchiffrement, plus faciles à utiliser. »

Les chercheurs de Kaspersky et de Intel Security avaient déjà dans le passé publié des applications de déchiffrement contre Shade. Ils ne fonctionnaient que sur un petit nombre de versions anciennes du rançongiciel, mais cela prouve qu’ils pourront certainement déchiffrer les bases de données des victimes grâce aux informations communiquées par les pirates.

La raison de l’arrêt d’activité est inconnue

En s’excusant, les opérateurs de Shade vont à contre-courant de la tendance globale du secteur des rançongiciels, qui tend plutôt vers l’escalade des menaces. Aujourd’hui des opérateurs comme Maze n’hésitent plus à publier les données de leurs victimes si elles ne paient pas, ou à supprimer leurs sauvegardes avant de porter la cyberattaque.

Shade visait principalement des organisations russes et ukrainiennes, et les motifs de cet arrêt d’activité sont pour l’instant inconnus.

Article publié initialement le 28 april 2020

Crédit photo de la une : Magnus916

À propos d'ExpressVPN

ExpressVPN, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. ExpressVPN ne conserve aucune trace de l'activité des utilisateurs. Son application de VPN, disponible sur ordinateur, mobile et routeur, est l'une des plus avancées du marché.

Plus d’informations sur la solution VPN d'ExpressVPN

Partager sur les réseaux sociaux