Posible Master Key y descifrador de #REvil #Sodinokibi publicados (actualizado)

Los analistas de Flashpoint han encontraron una publicación en ruso en ;XSS Forum en la que un actor de amenazas que opera bajo el alias de "Ekranoplan" publicó una posible clave maestra para REvil en una captura de pantalla en Github: OgTD7co7NcYCoNj8NoYdPoR8nVFJBO5vs/kVkhelp2s=

Actualización: se ha confirmado que la clave solo sirve para el caso de los afectados de Kaseya.

REvil (también conocido como "Sodinokibi" o "Sodin") es un grupo de amenazas de ransomware ruso que es responsable de varios incidentes de alta visibilidad en los últimos meses, incluido el ataque contra el proveedor de tecnología Kaseya, entre otros. Se cree que la operación de ransomware REvil, es un cambio de marca o un sucesor del grupo de ransomware ahora "retirado" conocido como GandCrab.

Si bien REvil supuestamente cerró sus operaciones en julio de 2021, muchos de sus objetivos siguen afectados por sus actividades, y recientemente han surgido otros grupos relacionados con REvil, después de enfrentar un intenso escrutinio por parte de la aplicación de la ley internacional y el aumento de las tensiones políticas entre Rusia y los EE.UU. cerró repentinamente su operación el 13 de julio y desapareció.

Ekranoplan compartió un enlace a la captura de pantalla el 6 de agosto de 2021 y el usuario no parece tener más historial de publicaciones en el foro. Varios usuarios cuestionaron la utilidad de una captura de pantalla para descifrar archivos, a lo que Ekranoplan respondió en ruso: "Esto nos lo proporcionó nuestra empresa matriz y se supone que funciona para todas las víctimas de REvil, no solo para nosotros".

Si bien se desconocen los orígenes de Ekranoplan, los analistas de Flashpoint probaron el descifrador REvil y parchearon el binario del descifrador con la nueva clave y lograron descifrar con éxito archivos en una sandbox infectado con una muestra reciente de REvil.

El misterio permanece y aún no se sabe la verdadera razón de la repentina desaparición de REvil. Si su infraestructura fue el objetivo de una operación policial coordinada, la clave de descifrado fue filtrada por una ex-víctima, o un cambio de opinión de los operadores de REvil.

Actualización 16/09 - Descifrador publicado

Si bien Bitdefender no puede compartir detalles sobre cómo obtuvieron la clave de descifrado maestra o la agencia de aplicación de la ley involucrada, dijeron que funciona para todas las víctimas de REvil cifradas antes del 13 de julio. Las víctimas del ransomware REvil pueden descargar el descifrador maestro de Bitdefender (instrucciones) y descifrar equipos completos a la vez o especificar carpetas específicas para descifrar.

Si bien REvil ha vuelto a atacar a las víctimas a principios de este mes, el lanzamiento de este descifrador maestro es una gran ayuda para las víctimas existentes que eligieron no pagar o simplemente no pudieron después de la desaparición de la pandilla de ransomware.

Fuente: FlashPoint | BC

Suscríbete a nuestro Boletín