روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ غل و زنجیر از دست و پای قربانیان باج‌افزارهای Maze، Egregor و Sekhmet پاره شد: هفته‌ی گذشته کلیدهای رمزگشایی برای هر سه این رشته بدافزارها در پستی در تالار گفت و گو منتشر شد. فرد منتشرکننده با استفاده از هندل Topleak خود را توسعه‌دهنده این سه بدافزار معرفی کرد. در ادامه با ما همراه شوید تا موضوع را بررسی کنیم.

متن این پیغام از قرار زیر است:

«خوش گذشت اما دیگر وقت خداحاظفی است. هیچیک از اعضای تیم ما به این نوع فعالیت بازنخواهند گشت. با شما کار کردن کردن تجربه زیبایی بود. همه کد منبع ابزارهایی که تا به حال ساخته شده است پاک می‌شود».

ترجمه: اعضای تیم Maze ظاهراً هرگز قرار نیست به این باج‌افزار برگردند و همه منبع کد باج‌افزارهای خود را نیز پاک کردند. این پست Topleak شامل یک فایل زیپ حاوی کلیدهای رمزگشا می‌شود. با توجه به این حقیقت که در فایل زیپ منبع کد وجود داشت، فایل نیز متعاقباً از پست حذف گردید. با این حال کلیدهای اورجینال لازم و ضروری نیستند: بعد از اینکه تأیید شد کلیدهای رمزگشا قانونی‌اند، Emsisoft رمزگشایی را منتشر کرد که قادر خواهد بود قربانیان سه باج‌افزار Maze، Egregor و Sekhmet را کمک کند فایل‌های خود را به صورت رایگان بازیابی کنند.

وقتی Maze به عنوان یکی از فعال‌ترین گنگ‌های باج‌افزاری شناخته شد در هنر سیاه double extortion نیز دستی بر آتش داشت؛ بدان‌معنا که نه تنها فایل‌ها را در حمله باج‌افزاری مورد هدف قرار می‌داد بلکه همچنین تهدید می‌کرد در صورت پرداخت نشدن باج، داده‌های رمزگذاری‌شده نیز عمومی خواهند شد. این گروه ابتدا نوامبر سال 2019 پدید آمد و بعد در تابستان 2020 Maze به کارتل جرایم سایبری تبدیل شد و از خود رشته باج‌افزارهای زیادی مانند Egregor تولید کرد (تا بدین‌ترتیب بتواند دست به اشتراک‌گذاری کد، ایده و منابع بزند). برخی از متخصصین Egregor را تناسخ Maze می‌دانند.

Appgate به نوبه خود کد Egregor را نوعی اسپین‌آفِ باج‌افزار Sekhmet ارزیابی کرد- لینکی که همچنین سایر محققین نیز متوجه آن شده بودند. Maze نوامبر 2020 اعلام کرد دارد فعالیت خود را برای همیشه به پایان می‌رساند. حتی در پستی توضیح هم داده شد که دلیل روی کار آمدن Maze این بوده که این جهان پر شده بود از حماقت، تنبلی، بی‌تفاوتی و بی‌پروایی. گویی قرار بوده با این کار به سازمان‌های هدف نشان داده شود که از نبود بهداشت امنیت سایبری رنج می‌برند و باید دست به کار شوند. گروه‌های سایبری بینشان رایج است که بازنشستگی خود را اعلام کنند و بعدش در کمال تعجب می‌بینیم باز هم زیر قولشان زده‌اند و برگشتند سر کسب و کار قدیمشان.

نمونه‌اش گروه GandCrab که ژوئن 2019 اعلام کرد که قرار است بازنشسته شود و درست چند ماه بعد خود را به هیبت باج‌افزار REvil/Sodinokibi درآورد و شروع به فعالیت شرورانه کرد. نمونه دیگر BlackMatter که اعلام پایان کار داد اما چند هفته بعد وارد میدان شد. گروه Maze نیز می‌تواند همین رویه را پیش گیرد و از این زمان بازنشستگی خود به عنوان فرصتی استفاده کند برای پروژه‌های جدید.  Topleak ادعا می‌کند این رفتن اجباری نبوده و هیچ‌ ارتباطی هم به دستگیری‌های اخیر ندارد. این یک بازنشستگیِ از پیش برنامه‌ریزی‌شده بوده است. با این حال همچنان باید به تصمیمات نویسندگان بدافزار شک کرد!

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.