Maze, Egregor y Sekhmet publican las claves maestras de descifrado de sus 'ransomware'
Las claves maestras de descifrado de los ataques de ransomware realizados por Maze, Egregor y Sekhmet fueron publicados hace unos días por el desarrollador de malware, tras los arrestos de sus responsables el pasado año.
El pasado día 9 de febrero, los foros de la prestigiosa publicación experta en seguridad TI BleepingComputer acogían la publicación, por parte de sus desarrolladores, de las claves maestras de descifrado para las operaciones de ransomware de los grupos Maze, su alter ego Egregor y Sekhmet.
Después de que Maze anunciara su cierre en octubre de 2020, cambiaron su nombre en septiembre a Egregor, pero que desapareció después de que los miembros fueran arrestados en Ucrania en febrero de 2021, justo ahora hace un año.
Según explican en BleepingComputer, las claves de descifrado del ransomware fueron filtradas en los foros por un usuario de los mismos llamado "Topleak" que asegura ser el mismísimo desarrollador de los tres ataques. Según aseguraba, además, se trataba de una filtración totalmente planificada y aseguraba que no tenía que ver con las actuaciones policiales que en el último años consiguieron la incautación de servidores y el arresto de afiliados de ransomwere.
La publicación incluye un enlace de descarga para un archivo 7zip con cuatro archivos que contienen las claves de descifrado de Maze, Egregor y Sekhmet, y el código fuente de un malware 'M0yv' utilizado por la banda de ransomware.
Además de filtrar las claves que ayudarán a recuperar sus datos a las decenas de personas y organizaciones ciberatacadas con Maze, el desarrollador asegura en el anuncio que ninguno de los miembros de su equipo volverá jamás al ransomware y que destruyeron todo el código fuente de su ransomware.Cada uno de estos archivos contiene la clave de cifrado maestra pública y la clave de descifrado maestra privada asociada con un "anuncio" específico o afiliado de la operación de ransomware.
Tácticas de robo de datos y doble extorsión
Maze comenzó a operar en el mes de mayo de 2019, enseguida fue famosos porque fue pionero en el uso de tácticas de robo de datos y doble extorsión que en los años posteriores han utilizado muchas otros grupos de malware. Maze hizo público su cierre en 2020, pero ese mismo mes de septiembre apareció con el élfico nombre de Egregor, que desapareció tras el éxito policial de la policía francesa y ucraniana el pasado febrero. Por su parte, la también banda de ransomwere Sekhmet apareció en marzo de 2020, cuando Maze estaba aún activa.
El anuncio de los desarrolladores de Maze va a resultar muy útil para todas aquellas víctimas de los ataques de los tres malware, puesto que tener acceso a las claves maestras permite a los investigadores de ciberseguridad desarrollar los descifradores que se pueden usar para que las organizaciones atacadas puedan recuperar sus archivos secuestrados de forma gratuita.
Los ataques de Maze, Egregor y Sekhmet los han sufrido grandes bufetes de abogados, instituciones, empresas constructoras y cualquier entidad que fuera susceptible de poder pagar rescates de gran valor económico.
