Los operadores de la variante de ransomware Ziggy han anunciado el cierre de su infraestructura y la publicación de las claves de descifrado para todas las versiones del malware, lo que significa que las víctimas de este grupo cibercriminal podrán recuperar el acceso a su información sin tener que hacer pago alguno a los hackers. Acorde al experto en ciberseguridad M. Sjahpasandi, el anuncio fue realizado a través del canal de Telegram de los hackers.
En este canal de comunicación el principal administrador de Ziggy mencionó haber creado el malware como una forma de generar ingresos desde un país del tercer mundo que no fue nombrado. Sobre su decisión, el presunto hacker menciona que, además de comenzar a sentirse culpable de sus acciones, pensó en las acciones emprendidas por las fuerzas del orden contra otros grupos de ransomware y llegó a la conclusión de que lo mejor para él era dejar de operar.
Como se menciona anteriormente, el operador del malware publicó un archivo SQL, con casi mil claves de descifrado correspondientes a cada víctima de este ataque. Cada sistema infectado requiere de tres claves, por lo que se estima que hay entre 300 y 350 víctimas del ransomware Ziggy.
Los operadores del malware también publicaron una herramienta de descifrado para recuperar completamente el acceso a sus sistemas. La herramienta está disponible en VirusTotal.
Adicionalmente, el operador también anunció la publicación del código fuente de una segunda herramienta de descifrado que contiene claves adicionales, también conocidas como claves “offline”. Las claves offline se usan para descifrar sistemas infectados con ransomware que no cuentan con conexión a internet o que no pueden conectarse al servidor C&C de los hackers.
Para terminar, los administradores de Ziggy compartieron algunos de sus archivos con Michael Gillespie, reconocido investigador de ransomware, quien a su vez creó una herramienta de descifrado empleando las claves publicadas por los hackers.
A pesar de que las intenciones del creador de este ransomware parecen ser legítimas, los expertos en ciberseguridad recomiendan a las víctimas usar las herramientas de descifrado creadas por firmas de seguridad: “La liberación de esta información es una gran noticia para las víctimas, ya que podrán recuperar su información sin necesidad de pagar un rescate o emplear las herramientas de descifrado de los hackers, que podrían contener malware adicional o incluso un backdoor”, menciona Gillespie.
Este no es el único grupo de hacking que ha tomado una decisión similar. Hace unos días los operadores del ransomware Fonix también decidieron cerrar sus operaciones y publicar las claves de descifrado; se menciona que Emotet, un grupo de ransomware aliado, tomará la misma decisión próximamente. Los expertos creen que esto se debe a las acciones emprendidas contra los operadores de otras variantes como Emotet y Netwalker.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
