Les ransomwares ne sont pas une fatalité, il arrive que des chercheurs trouvent des moyens de déchiffrer les données verrouillées par les cybercriminels. Kaspersky vient d’en donner la preuve en livrant un déchiffreur pour une variante du célèbre Conti. Celle-ci a infecté de dizaines d’entreprises et d’administration au cours du mois de décembre 2022.
L’éditeur ne nomme pas directement le groupe derrière cette déclinaison, mais les experts affirment qu’il s’agit du ransomware Meow, basé sur le code source de Conti. Ce dernier a été rendu public en mars 2022, après qu’un affilié se soit rebellé contre le soutien du groupe à l’invasion de l’Ukraine par la Russie. Il a publié plusieurs documents, des échanges, des fichiers concernant la nébuleuse Conti. Une mine d’or pour les experts en cybersécurité qui ont décortiqué et analysé ces informations.
Des données des Conti Leaks continuent à être publiées
Toutefois, il reste encore des données à découvrir. « Fin février 2023, les experts de Kaspersky ont découvert une nouvelle partie des fuites de données publiées sur des forums », souligne l’éditeur. Il ajoute, « après avoir analysé les données, qui contenaient 258 clés privées, le code source et certains déchiffreurs précompilés, Kaspersky a publié une nouvelle version du déchiffreur public pour aider les victimes de cette modification du ransomware Conti ».
Relation de cause à effet, un chercheur sur les ransomwares a indiqué à nos confrères de Bleepingcomputer que les membres du groupe derrière Meow ont annoncé sur un forum underground russe « qu’ils cessaient leurs activités » et qu’ « ils fournissaient un lien vers toutes les clés privées et tous les déchiffreurs ». Les analystes ont trouvé les clés privées dans 257 dossiers différents - l'un d'entre eux contenait deux clés. Plusieurs dossiers contenaient des déchiffreurs et des fichiers utilisés pour les tester. Kaspersky a travaillé sur ces documents et a pu créer un outil de déchiffrement public et l’a ajouté au catalogue de l’association « No Ransom ».