Querelles internes, retraite après avoir décroché le jackpot, craintes d’une arrestation… Les raisons derrière l’arrêt d’une activité cybercriminelle peuvent être nombreuses. Sur Twitter, « Xinof », un des administrateurs du rançongiciel FonixCrypter, a préféré expliquer la fin de son organisation par ses considérations éthiques.
Dans un anglais hésitant, il écrit : « Le projet a démarré seulement à cause d’une mauvaise situation économique. Mais ce n’était pas ce que mon cœur voulait. Maintenant, après avoir terminé le Projet, je peux dormir sans me sentir coupable. » Pour accompagner cette déclaration de conscience, il a publié plusieurs documents destinés à réparer les dégâts causés par le rançongiciel.
Loin d’avoir la taille ou le volume d’activité des plus gros gangs, Fonix, repéré pour la première fois en juin 2020, n’en restait pas moins une véritable plaie pour ses victimes. Comme tout rançongiciel, il chiffrait les données des ordinateurs qu’il parvenait à infecter, avec de terribles conséquences pour les organisations victimes : ralentissement de la production, arrêt des communications, lecture impossible de documents confidentiels… Le gang offrait le déblocage de la situation à l’aide d’une clé de déchiffrement en échange du paiement d’une rançon.
L’administrateur de Fonix veut se repentir. // Source : Louise Audry pour Numerama
Grâce aux messages publiés par l’administrateur repenti, même ceux qui n’ont pas payé devraient pouvoir débloquer leurs ordinateurs. Mais ce n’est pas pour tout de suite : si le cybercriminel a publié un outil de déchiffrement, ce dernier ne fonctionne par correctement, d’après le Bleeping Computer, qui a effectué plusieurs tests. En revanche, il a aussi publié un autre fichier bien plus intéressant : la clé maître utilisée par les malfrats pour leur chiffrement. Celle-ci va permettre aux spécialistes de créer un outil, appelé « décrypteur », capable de casser tous les différents chiffrements utilisés par Fonix.
Tous les partenaires de crime ne l’ont pas suivi dans sa tentative de repentance. « Certains membres de l’équipe se sont opposés à la fermeture du projet, comme l’administrateur de notre chaîne Telegram qui essaye maintenant d’arnaquer les membres de la chaîne en vendant de fausses sources et de fausses données », écrit-il.
Il rappelle que malgré ces désaccords, tous les documents relatifs au malware ont été supprimés, et que les anciens membres rebelles ne les ont pas.
Le gang était-il capable de lever son propre chiffrement ?
Preuve du relatif amateurisme de Fonix par rapport aux plus grands gangs du secteur, le « décrypteur » publié par « Xinof », utilisé par les malfrats en interne, ne fonctionne donc pas correctement. Les délinquants s’en servaient pourtant pour prouver à leurs victimes qu’ils étaient capables d’inverser le chiffrement à partir d’un petit échantillon.
Non seulement cet outil ne fonctionne pas sur un ordinateur entier, mais en plus il ne fonctionne pas correctement même sur un faible volume de fichier. De quoi s’interroger sur les capacités réelles du gang à lever correctement leur propre chiffrement…
Désormais, les victimes vont devoir attendre le travail de Michael Gilespie, aussi connu sous le pseudo « @demonslay335 » pour les centaines de décrypteurs gratuits qu’il a publié. C’est de lui que viendra le déblocage.
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.
