Хакер, но не от онези лошите, „черните“, а от „белите“ хакери се ядосал на шега на киберпрестъпници и отвърнал на удара с удар, носейки радост на много от техните жертви, за което предава ZDNet.
Muhstik е престъпна група, забелязана още през април (медията цитира атаките към NAS устройства от септември, като първи регистрирани атаки от тяхна страна) миналата година, когато атакуваше с огромен ботнет свързани с Интернет устройства. За тази цел, Muhstik експлоатираше CVE-2018-7600 (или позната още като Drupalgeddon2), уязвимост в популярната CMS система Drupal. Заедно с експлойти за други познати уязвимости киберпрестъпниците са доставяли миньори на криптовалута, рансъмуер и друг тип заплахи, за да трупат състояние. С Тобиас Фрьомел обаче са нападнали някой, който не е трябвало.
През септември са регистрирани вълна от атаки на Muhstik към NAS устройства, и по-точно такива, доставяни от тайванската компания QNAP. Престъпниците търсят свързани към интернет NAS устройства, които имат слаби пароли за услугата phpMyAdmin. След придобиването на достъп до phpMyAdmin инсталацията, хакерите криптират файловете (с разширение .muhstik) и запазват тяхно копие заедно с декриптиращите ключове за тях на свой собствен сървър.
Фрьомел, софтуерен разработчик, станал една от жертвите на престъпниците и изглежда е нямал копие на заключените от тях файлове, тъй като платил исканата от тях сума за обратен достъп до информацията си. След плащането обаче, Фрьомел решил да анализира заплахата, разбрал методологията на действие на групата и зловредната програма и успял да достигне базата данни на сървъра им. „Знам, че това не е легално“, пише Фрьомел в Pastebin, добавяйки 2858 декриптиращи ключа. „Не аз съм лошия в случая“, добавя той.
Нещо повече. Фрьомел разработва програма, която може да послужи като универсален декриптор за всички жертви на Muhstik и я качва в MEGA, заедно с инструкции за работа с нея във форума на Bleeping Computer. Той се е свързал с властите за съдействие по разбиване на престъпната групировка.
ZDNet припомня, че това е третата активна заплаха, атакуваща NAS устройства тази година.