Les opérateurs du ransomware Shade ont décidé de tirer leur révérence en permettant à leurs nombreuses victimes de récupérer leurs données.
Certains hackers croient-ils en la rédemption ? On pourrait le penser en lisant un post hébergé sur GitHub il y a quelques jours. Des pirates informatiques, qui prétendent être les opérateurs des rançongiciels Shade, Trodelsh ou Encoder.858, ont mis en ligne plus de 750 000 clés de chiffrement. Et les désormais retraités du hacking ont aussi publié leur logiciel de décryptage, notamment à destination des services antivirus. Trop beau pour être vrai ? Non msieurs-dames ! Tout est bien réel.
Des excuses adressées aux victimes
Alors que le cheval de Troie que le groupe a créé n'est plus diffusé depuis fin 2019, le retrait de ses membres du monde du piratage ne s'est pas fait dans la discrétion. Ces derniers ont souhaité faire un cadeau à leurs centaines de milliers de victimes en permettant le déchiffrement des fichiers consignés.
En publiant dans la foulée le logiciel de déchiffrement, les pirates ont fait d'une pierre deux coups, portés par leur bonté crépusculaire. "Nous espérons qu'avec les clés, les sociétés d'antivirus publieront leurs propres outils de décryptage plus conviviaux", écrivent les pirates qui vont même jusqu'à s'excuser "auprès de toutes les victimes du cheval de Troie", espérant que les clés publiées "les aideront à récupérer leurs données."
Les motifs de l'acte bienveillant encore incertains
Le groupe de cybercriminels a ainsi publié la totalité des clés via plusieurs liens, qui hébergent des fichiers .exe zippés. On note d'ailleurs l'aspect précautionneux et prévenant de la chose. "Certains logiciels publiés sont détectés par certains antivirus car ils utilisent des blocs de code communs avec le chiffreur. Pour éviter leur suppression, tous les fichiers .exe ont été zippés avec le même mot de passe : 123454321", explique le groupe.
Mais autant de bienveillance, voilà qui pourrait être suspect, surtout provenant d'acteurs chevronnés du hacking. Mais il n'en est rien. Le chercheur en cybersécurité de Kaspersky, Sergey Golovanov, l'a lui même confirmé sur Twitter. "Et oui. Les clés sont réelles. Je viens de vérifier."
D'autres spécialistes, sur la toile, pensent que quelque chose se cache derrière cet acte de générosité. Différentes hypothèses circulent.
Certains pensent que le groupe du ransomware Shade s'est fait doubler par un collectif de cybercriminels. D'autres imaginent une intervention des services secrets russes, Shade ayant traqué ses proies en Russie et en Ukraine. Le rançongiciel, qui devrait donc définitivement disparaître, laissera la place à de vifs successeurs, parmi lesquels Maze ou Sodinokibi.
