Ziggy Ransomware-Bande bietet Opfern Rückerstattungen an

Cyber Security News

Ziggy schließt sich der Fonix-Ransomware-Gruppe an und wird abgeschaltet, mit einer Entschuldigung an die Opfer.

Die Ziggy-Ransomware-Bande kündigte Anfang Februar an, dass sie sich aus dem Cybercrime-Geschäft zurückzieht. Jetzt sagen sie, dass sie bereit sind, das Geld ihrer Opfer zu erstatten.

Jeder, der ein Lösegeld an Ziggy bezahlt hat, muss ihnen nur eine E-Mail mit einem in Bitcoin berechneten Zahlungsnachweis und der Computer-ID schicken. Danach wird das Geld in die Bitcoin-Brieftasche in etwa zwei Wochen zurückgegeben werden, nach BleepingComputer, die mit Ziggy Administrator sprach.

[Blocked Image: https://alltechnews.de/daten/2…nt-wieder-an-Relevanz.jpg]

Threatpost schickte eine E-Mail an den Ziggy-Administrator, hat aber noch keine Antwort erhalten.

Ransomware-Betreiber finden ihr Gewissen

Offensichtlich wurde Ziggy Anfang Februar aufgeschreckt, nachdem die Strafverfolgungsbehörden andere Anbieter von Malware wie Emotet und NetWalker Ransomware aus dem Verkehr gezogen hatten, und fügte hinzu, dass sie sich “schuldig” fühlten, so der Bericht.

Am 7. Februar veröffentlichte Ziggy 922 Entschlüsselungsschlüssel, die, wenn sie mit Schlüsseln in einer begleitenden SQL-Datei abgeglichen wurden, die Dateien der Opfer entsperren würden. Ziggy teilte die Dateien auch mit dem Ransomware-Experten Michael Gillespie, der ein kostenloses Ziggy-Entschlüsselungstool für die Opfer erstellte, um ihre Dateien zu entsperren.

Der Forscher M. Shahpasandi hat in einer Nachricht auf Twitter darauf hingewiesen, wie Ziggy-Opfer ihr Geld zurückbekommen können.

An alle #Ziggy Ransomware-Opfer, die Geld bezahlt haben: Kontaktieren Sie ziggyransomware@secmail.pro, um Ihr Geld zurückzubekommen. @BleepinComputer @malwrhunterteam @demonslay335 https://t.co/tP0ngMXNyi pic.twitter.com/GNf7icMQiQ

– M. Shahpasandi (@M_Shahpasandi) March 28, 2021

Aber wie Bleeping Computer darauf hinwies, ist der Zeitpunkt der Lösegeld-Rückerstattungs-Ankündigung merkwürdig. Ziggy sagte, die Rückerstattung wird basierend auf dem Bitcoin-Wert am Tag der Zahlung berechnet. Am 7. Februar, dem Tag, an dem Ziggy die Entschlüsselungsschlüssel veröffentlichte, lag der Wechselkurs für Bitcoin bei etwa 1 BTC zu $39.000, nur wenige Tage später stieg der Wert von Bitcoin auf knapp $59.000 pro BTC. Dieser Wertunterschied verschafft Ziggy einen ordentlichen kleinen Gewinn, während er das Geld technisch gesehen immer noch zurückgibt.

Ziggy erklärte Bleeping Computer sie in einem “Dritte-Welt-Land” waren und nur versuchen, Geld zu verdienen, fügte hinzu, sie waren ihr Haus zu verkaufen, um die Rückerstattungen zu finanzieren.

RIP: Ziggy, Fonix, Emotet

Ziggys Rückkehr auf die rechte Seite der Linie folgt auf umfangreiche internationale Strafverfolgungsoperationen, die darauf abzielen, Ransomware-Operationen zu zerschlagen. Und sie sind nicht allein. Nur wenige Tage bevor Ziggy seinen Rücktritt bekannt gab, sagte ein Administrator der Ransomware-as-a-Service-Gruppe Fonix, dass auch sie die Seiten wechseln und “zu dem Schluss gekommen sind, dass wir unsere Fähigkeiten auf positive Weise nutzen sollten, um anderen zu helfen”, so die Ankündigung.

Ende des FonixCrypter-Projekts :#Fonix #ransomware #XINOF #FonixCrypter #Schließen_Projekt #Hack #Malware #raas #ransomware_as_a_service pic.twitter.com/wQdmp61juX

– fnx (@fnx67482837) January 29, 2021

Ein späterer Tweet enthielt eine Entschuldigung und das Versprechen, eine Website zur Analyse von Malware zu starten und “unsere Fehler wiedergutzumachen.”

Zumindest haben wir eine spezielle Entschuldigung für alle Benutzer infizierter Systeme. Um unsere Fehler wiedergutzumachen, werden wir bald eine Website zur Malware-Analyse starten, um unsere Fähigkeiten auf positive Weise zu nutzen.

“Wir können nicht an der Menschheit verzweifeln, da wir selbst menschlich sind”

– fnx (@fnx67482837) January 30, 2021

Ende Januar wurde Emotet zerstört, als die Polizei Hunderte von Servern offline nahm; und die Polizei nahm auch die Dark Web Leaks-Seite von Netwalker herunter. Zu dieser Zeit war Emotet die am weitesten verbreitete Malware in freier Wildbahn, aber nachdem sie entfernt wurde, stieg TrickBot schnell auf, um seinen Platz einzunehmen, zusammen mit Qakbot und der Ryuk-Ransomware.

Ob aus Schuldgefühlen, Angst vor strafrechtlicher Verfolgung oder aus dem Wunsch heraus, ihre Fähigkeiten für legitimere Zwecke einzusetzen, der Trend ist eindeutig: Ransomware-Affiliates steigen aus dem Geschäft aus.

“Dieser Vorfall unterstreicht den Erfolg der anhaltenden Bemühungen der Strafverfolgungsbehörden, gegen Ransomware-Aktivitäten vorzugehen”, sagte Ivan Righi, Analyst bei Digital Shadows gegenüber Threatpost. “Während große Ransomware-Operationen wie Clop, Sodinokibi und DarkSide wahrscheinlich nicht davon abgehalten werden, weiterhin Angriffe zu starten, werden die jüngsten Verhaftungen Cyberkriminelle dazu bringen, zweimal nachzudenken, bevor sie sich an Ransomware beteiligen.”

Righi fügte hinzu, dass das Entsperren der Dateien der Opfer und die Ausgabe von Rückerstattungen nicht wirklich ausreicht, um den Schaden für Unternehmen zu mindern.

“Ziggy hat einen einzigartigen Ansatz gewählt, indem es einen Entschlüsselungsschlüssel freigibt, volle Rückerstattung von Lösegeldzahlungen anbietet und sich als ‘Ransomware-Jäger’ ausgibt”, so Righi gegenüber Threatpost. “Doch auch wenn Ziggy die erhaltenen Lösegeldzahlungen zurückerstattet und Entschlüsselungsschlüssel freigibt, ist der Schaden wahrscheinlich bereits angerichtet und die Opfer, die durch ihre Operationen lange Ausfallzeiten erlitten haben, werden sich wahrscheinlich nicht vollständig von ihren Verlusten erholen.”

Schauen Sie sich unsere kommenden kostenlosen Live-Webinar-Veranstaltungen an – einzigartige, dynamische Diskussionen mit Cybersecurity-Experten und der Threatpost-Community:

  • 21. April: Underground Markets: Ein Rundgang durch die Schattenwirtschaft (Erfahren Sie mehr und registrieren Sie sich!)

Einige Teile dieses Artikels stammen aus:
threatpost.com