Ben tre bande di ransomware chiudono e rilasciano un decrittatore gratuito. Perché?

Credit: The Record.

Sta succedendo qualcosa di insolito nel mondo del ransomware, una delle attività criminali più lucrative di questo periodo: bande criminali che hanno attaccato con successo moltissime grandi aziende in tutto il mondo, bloccando i loro dati con una cifratura di cui solo loro conoscevano la chiave e incassando lautissimi riscatti, stanno chiudendo di colpo, senza spiegazioni, e stanno dando gratuitamente alle proprie vittime le chiavi per recuperare i propri dati.

Il giornalista specializzato in sicurezza informatica Catalin Cimpanu segnala, su The Record, che la banda denominata Ragnarok (o Asnarök) ha cessato la propria attività online il 26 agosto scorso e ha rilasciato una utility gratuita di decrittazione che contiene la chiave master, una sorta di passepartout o chiave universale, che decifra tutti i dati bloccati dagli attacchi passati della banda, operativa sin dalla fine del 2019.

L’utility di decrittazione è oggetto di verifiche da parte degli esperti e verrà riconfezionata e ripulita prima di essere messa pubblicamente a disposizione presso il portale NoMoreRansom.org di Europol insieme agli altri strumenti di decrittazione già disponibili per altri ransomware.

Il 12 agosto scorso è successa esattamente la stessa cosa con la banda denominata SynAck. Il programma di decrittazione è disponibile qui su Emsisoft.

A giugno scorso era stato il turno del gruppo criminale che gestiva il ransomware Avaddon: da allora gli attacchi sono cessati e la banda ha rilasciato un programma di decrittazione (disponibile qui su NoMoreRansom e qui presso Emsisoft).

La domanda, a questo punto, è perché dei criminali che sono in piena attività decidono di “redimersi”, per così dire.

C’è un dettaglio interessante che potrebbe suggerire una possibile spiegazione: i ransomware gestiti da tutte queste bande evitavano di prendere di mira Russia e/o Cina (basandosi per esempio sul language ID del sistema infettato); è una caratteristica molto comune nei ransomware. Si teorizza quindi che le bande operino da questi paesi (più probabilmente Russia) e che qualche persona o organizzazione influente del posto sia intervenuto quando il ransomware ha colpito qualche bersaglio che non doveva colpire. Ma si tratta, per ora, di pura congettura.