De Nederlandse politie is erin geslaagd om de DoNex-ransomware te kraken, waardoor slachtoffers zonder te betalen hun bestanden kunnen terugkrijgen. Tijdens de afgelopen Recon 2024 Conference in Canada presenteerde de politie haar bevindingen. De eerste versie van de ransomware verscheen in 2022, toen nog onder de naam Muse. Sindsdien hebben de makers verschillende naamswijzigingen doorgevoerd, waarbij DoNex de laatste was. Sinds april van dit jaar zijn er geen nieuwe versies meer waargenomen, aldus antivirusbedrijf Avast.

DoNex is vooral in Nederland, de Verenigde Staten en Italië actief, zo blijkt uit een overzicht van de virusbestrijder. Net als andere ransomwaregroepen heeft de DoNex-groep een website waarop ze de namen van slachtoffers plaatsen. Zo claimde de groep via de website een aanval op logistiek dienstverlener Van der Helm. De politie deed onderzoek naar de ransomware en wist door middel van reverse engineering een cryptografische kwetsbaarheid te vinden, waarmee het mogelijk was om alle versleutelde bestanden van slachtoffers te ontsleutelen.

"Om slachtoffers te helpen bij het herstel van een ransomware-aanval, hebben we een decryptietool op het NoMoreRansom-platform gepubliceerd, een initiatief van een aantal partijen, waaronder de Nederlandse politie, om te voorkomen dat ransomware-operators slachtoffers afpersen", aldus Gijs Rijnders, cyber threat intelligence analist en malware reverse engineer bij de politie. Ook antivirusbedrijf Avast heeft een decryptietool ontwikkeld. Hoeveel slachtoffers de DoNex-ransomware maakte is niet bekend.