Vittima hackera la banda di ransomware
Un utente si è vendicato della banda di ransomware che ha crittografato i suoi file hackerando il loro server e rilasciando le chiavi di decrittazione per tutte le altre vittime.
Questo è successo oggi e ha coinvolto la banda Muhstik. Muhstik è un recente ceppo di ransomware che è attivo dalla fine di settembre, secondo i rapporti [ 1 , 2 , 3 ].
Questo ransomware prende di mira i dispositivi NAS (Network Attacked Storage) prodotti dal fornitore di hardware taiwanese QNAP. La banda dietro il ransomware Muhstik è costituita da dispositivi QNAP NAS a forza bruta che utilizzano password deboli per il servizio phpMyAdmin integrato, secondo un avviso di sicurezza pubblicato dalla società la scorsa settimana .
Dopo aver ottenuto l’accesso all’installazione di phpMyAdmin, gli operatori Muhstik crittografano i file degli utenti e salvano una copia delle chiavi di decrittazione sul loro server di comando e controllo (C&C). I file QNAP crittografati da Muhstik possono essere riconosciuti dalla nuova estensione “.muhstik” di ciascun file.
GLI SVILUPPATORI DI SOFTWARE INFASTIDITI TORNANO INDIETRO
Una delle vittime della banda era Tobias Frömel, uno sviluppatore di software tedesco. Frömel fu una delle vittime che pagarono la richiesta di riscatto in modo da poter riguadagnare l’accesso ai propri fascicoli.
Tuttavia, dopo aver pagato il riscatto, Frömel ha anche analizzato il ransomware, acquisito informazioni sul funzionamento di Muhstik e quindi recuperato il database dei truffatori dal loro server.
“So che non era legale per me”, ha scritto oggi il ricercatore in un file di testo che ha pubblicato online su Pastebin contenente 2.858 chiavi di decrittazione.
“Non sono io il cattivo qui”, ha aggiunto Frömel.
METODO DI DECODIFICA GRATUITO ORA DISPONIBILE
Oltre a rilasciare le chiavi di decrittazione, lo sviluppatore tedesco ha anche pubblicato un decodificatore che tutte le vittime di Muhstik possono utilizzare per sbloccare i propri file. Il decodificatore è disponibile su MEGA [ VirusTotal scan ] e le istruzioni per l’uso sono disponibili sul forum Bleeping Computer.
Nel frattempo, Frömel è stato impegnato a notificare le vittime di Muhstik su Twitter in merito alla disponibilità del decifratore, avvisando gli utenti di non pagare il riscatto.
Nonostante le azioni di Frömel siano contro la legge, è molto improbabile che venga processato per l’hacking della banda Muhstik e per aiutare migliaia di vittime. Tuttavia, ai ricercatori di sicurezza viene consigliato di collaborare con le autorità durante la pirateria informatica, in modo simile a come Avast ha lavorato con la polizia francese per abbattere la botnet Retadup .
Questa è la terza varietà di ransomware che è stata individuata quest’anno per i dispositivi NAS, dopo eCh0raix e un’altra varietà senza nome destinata ai dispositivi Synology . Nel mese di agosto è stato rilasciato un decifratore gratuito per le vittime di eCh0raix.
