Alors que les menaces liées aux ransomwares se multiplient, il y a récemment eu un exemple de riposte ! Un développeur allemand ciblé a accepté de payer la rançon avant de se retourner contre les hackers responsables de l’attaque initiale.
Une victime qui s’est rebellée
Il y a peu, nous évoquions le fait que les attaques au ransomware ont doublé en 2019. Effectivement, ce genre de malware représente une menace plus importante que jamais. Alors que 2019 n’est pas encore achevée, les affaires liées aux ransomwares ont été nombreuses. L’attaque de grande ampleur la plus récente semble être celle subie par la ville de Johannesburg (Afrique du Sud). Les pirates se sont attaqués au réseau d’électricité et se sont trouvés en mesure de priver les habitants de courant !
Comme l’explique ZDNet dans un article du 7 octobre 2019, un certain Tobias Frömel a été touché par le ransomware connu sous le nom de Muhstik. Ce dernier s’est retrouvé dans l’obligation de payer une rançon de 0,09 Bitcoin, c’est-à-dire l’équivalent de 700 euros, et ce afin récupérer ses données. Or, l’intéressé est un développeur allemand faisant partie d’un groupe de « white hats », ces gentils pirates œuvrant pour le bien des internautes.
Retour de flamme
Si Tobias Frömel s’est dans un premier temps acquitté de la somme réclamée par les pirates, celui-ci n’en est pas resté là. En effet, le white hat est parvenu à obtenir un accès au serveur responsable de l’infection et a déniché le script PHP générant les clés de déchiffrement du ransomware. L’intéressé a donc mis la main sur pas moins de 3000 clés de déchiffrement qu’il a par la suite publié. Le but ? En faire profiter d’éventuelles victimes du malware Muhstik !
Il faut savoir que le ransomware cible les périphériques de stockage en réseau (NAS) du constructeur informatique QNAP, basé à Taïwan. Or le 4 octobre 2019, cette société avait déjà publié un avis de sécurité. Le document précisait que le groupe de pirates derrière le ransomware ciblait les périphériques NAS de chez QNAP ayant un mot de passe de faible sécurité concernant l’application de gestion phpMyAdmin intégrée.
Articles liés :
