Ziggy : les cybercriminels ont parfois des remords

Le ransomware Ziggy n’était peut-être pas le plus connu de la bande, mais l’annonce de sa retraite lui aura valu quelques titres : au mois de février, l’opérateur anonyme de ce ransomware annonçait en effet la fin de son activité et publiait les différentes clefs de chiffrement utilisées lors de ses attaques pour chiffrer les données des victimes. Cette publication est rare : les cybercriminels livrent rarement ces fameuses clefs de chiffrement de leur plein gré, même lorsqu’ils annoncent la fin de leurs opérations comme dans le cas de Maze. L’arrestation des cybercriminels n’est pas non plus la garantie de récupérer ses données, tout comme le paiement de la rançon exigée d’ailleurs.

Mais les opérateurs de Ziggy ont décidé d’aller plus loin, en annonçant la semaine dernière qu’ils proposaient également de rembourser les victimes ayant payé la rançon. Dans une annonce publiée sur Telegram et relayée par la presse spécialisée, l’opérateur de Ziggy promettait de rendre l’argent extorqué à ses victimes qui en feraient la demande en le contactant sur une adresse dédiée. Bleeping Computer notait au passage qu’avec la croissance récente du prix du bitcoin, le cybercriminel pouvait facilement se permettre de rembourser l’ensemble de ses victimes et conserver néanmoins la différence, celui-ci s’engageant à rembourser uniquement la somme en dollars extorquée au moment de l’attaque et non pas la somme en bitcoin.

Fonix fait de même

À la fin du mois de janvier, un autre groupe de ransomware avait fait une annonce similaire, le groupe opérant le ransomware Fonix. Dans plusieurs tweets, les opérateurs du ransomware Fonix ont indiqué qu’ils souhaitaient « utiliser leurs compétences à des fins positives » et ont également annoncé la fin de leur activité en diffusant les clefs de chiffrement utilisées dans leurs attaques.
Pour les victimes, c’est un soulagement : il est donc possible de récupérer l’accès aux données chiffrées par ces logiciels malveillants sans avoir à s’acquitter de la rançon.

Une mise en garde s’impose néanmoins : si les clefs diffusées semblent bien fonctionner, les logiciels de déchiffrement fournis par les cybercriminels ne sont pas toujours completement stables et il est peut-être plus sage de s’appuyer sur des outils tiers pour déchiffrer les données. La société Emsisoft a ainsi travaillé au développement de plusieurs outils de ce type, tout comme Kaspersky. La plupart des solutions sont généralement regroupées sur la page de l’initiative No More Ransom, qui regroupe et inventorie les solutions de déchiffrement existantes.

Et en plus, ils parlent

Ces deux annonces ont également donné l’occasion à ces opérateurs de s’exprimer un peu plus en avant, tout en restant toujours anonymes. Auprès de Bleeping Computer, l’opérateur du ransomware Ziggy explique que sa décision a été avant tout motivée par une prise de conscience, mais aussi par les récentes annonces des arrestations des cybercriminels à l’oeuvre derrière le botnet Emotet et le ransomware Netwalker.

À la fin du mois de janvier en effet, Europol avait annoncé l’arrestation de plusieurs individus suspectés d’avoir travaillé à la mise en œuvre du botnet Emotet, et les forces de l’ordre américaines en partenariat avec les autorités bulgares avaient saisi le site web utilisé par le groupe Netwalker et arrêté un citoyen canadien suspecté d’avoir utilisé le ransomware. Si les responsabilités exactes des personnes arrêtées n’ont pour l’instant pas été éclaircies, les annonces ont visiblement eu un effet dissuasif sur des groupes de plus petite taille.

L’autre aspect mis en lumière par ces annonces est la motivation des individus qui développent et utilisent ces logiciels malveillants : pour Fonix comme pour Ziggy, les opérateurs expliquent s’être lancés dans cette activité du fait de la mauvaise situation économique de leur pays, décrit comme « un pays du tiers monde » par l’opérateur de Ziggy.

Un motif que l’on retrouve dans les propos de Unknown, porte-parole du groupe de ransomware Revil/Sodinokibi, interviewé par le site Recorded Future. Contrairement aux opérateurs de Ziggy et de Fonix, celui-ci n’est pas là pour faire part de ses remords, mais bien pour vanter la supériorité de son service de ransomware par rapport à celui de la concurrence. Il conclut néanmoins l’interview sur une courte déclaration qui expose clairement ses motivations : « Enfant, je fouillais les tas d’ordures et je fumais des mégots de cigarettes. Je marchais 10 km pour aller à l’école. J’ai porté les mêmes vêtements pendant six mois. Dans ma jeunesse, dans un appartement commun, je n’ai parfois pas mangé pendant deux ou trois jours. Maintenant je suis millionnaire. » Une manière de rappeler que la seule reponse répressive ne suffira probablement pas à décourager les futurs cybercriminels.