Bitdefender ha rilasciato un decryptor universale per le vittime di REvil/Sodinokibi infettate prima del 13 luglio 2021.
In una dichiarazione, la società di sicurezza informatica ha affermato di aver creato lo strumento con “un fidato partner delle forze dell'ordine” nel tentativo di aiutare le numerose vittime che erano state infettate dal ransomware.
Ci sono più vittime REvil che si sono rifiutate di pagare un riscatto o hanno pagato un riscatto ma non hanno ottenuto chiavi di decrittazione funzionanti prima che il gruppo ransomware si oscurasse il 13 luglio a seguito di un massiccio attacco del 4 luglio a Kaseya, un IT sviluppatore di soluzioni per MSP e clienti aziendali.
Da allora il gruppo è riemerso e ha fatto trapelare informazioni su più vittime, annunciando persino una nuova vittima giovedì mentre Bitdefender ha lanciato il suo decryptor.
Bogdan Botezatu, direttore della ricerca sulle minacce e della segnalazione di Bitdefender, ha detto a ZDNet che hanno iniziato a vedere dozzine di download del decryptor non appena l'hanno rilasciato. L'azienda è stata anche contattata privatamente da diverse vittime che aspettavano aiuto sin dalla nascita del gruppo.
Botezatu ha osservato che è impossibile stimare quante vittime REvil è riuscita a infettare dal 2019 perché non tutte le vittime segnalano infezioni o chiedono supporto.
Quando è stato chiesto perché il decryptor funziona solo per le vittime infette prima del 13 luglio e non dopo, Botezatu ha detto che non poteva discutere di dettagli, ma ha spiegato che la differenza principale è “legata alle chiavi di decrittazione che abbiamo a disposizione dal nostro fidato partner delle forze dell'ordine. “
“Abbiamo testato lo strumento contro gli attacchi recenti e il nostro strumento non può ancora decifrare gli attacchi dopo la data del 13 luglio”, ha affermato Botezatu.
“Siamo lieti di aiutare le vittime che sono state colpite. Come altri ricercatori del settore, abbiamo visto riprendere l'attività di REvil. Sulla base della nostra esperienza, riteniamo che nuovi attacchi ransomware siano imminenti e che le organizzazioni di tutte le dimensioni e in tutti i settori dovrebbero essere massima allerta”.
Botezatu ha aggiunto che l'azienda sta lavorando su nuove versioni di decryptor, nonché su decryptor delle più importanti famiglie di ransomware.
In una dichiarazione più lunga, Bitdefender ha affermato che le vittime con dati crittografati sono state lasciate nei guai quando parti dell'infrastruttura di REvil sono andate offline e ha confermato che non saranno in grado di commentare alcuni dettagli del caso fino a quando non saranno autorizzati dalla “legge investigativa principale”. partner esecutivo”.
“Entrambe le parti credono che sia importante rilasciare il decryptor universale prima che l'indagine sia completata per aiutare il maggior numero possibile di vittime”, ha affermato Bitdefender. “Riteniamo che i nuovi attacchi REvil siano imminenti dopo che i server e l'infrastruttura di supporto della banda del ransomware sono recentemente tornati online dopo una pausa di due mesi. Esortiamo le organizzazioni a prestare la massima attenzione e a prendere le precauzioni necessarie.”
La società ha osservato che gli operatori di REvil sono molto probabilmente basati in un paese del Commonwealth of Independent States (CIS) e che il gruppo è emerso come un derivato del ransomware GandCrab nel 2019. REvil ha attaccato migliaia di aziende in tutto il mondo, chiedendo riscatti esorbitanti in cambio di non perdita di dati.
L'esperto di ransomware e analista di minacce Emsisoft Brett Callow, che ha lavorato su decryptor per altri ceppi di ransomware, ha affermato che il rilascio aiuterà sicuramente le vittime prima del 13 luglio che non sono state in grado di recuperare completamente i propri dati con altri mezzi nelle settimane successive.< /p>
“Il fatto che il decryptor sia stato “creato in collaborazione con un partner fidato delle forze dell'ordine” implicherebbe che quel partner avesse recuperato le chiavi”, ha aggiunto Callow.
Callow ha notato che REvil ha attaccato almeno 360 organizzazioni con sede negli Stati Uniti quest'anno. Il sito di ricerca RansomWhere afferma che il gruppo ha guadagnato almeno 11 milioni di dollari quest'anno, con attacchi di alto profilo su Acer, JBS, Quanta Computer e altri.
Sicurezza
T-Mobile hack: tutto ciò che devi sapere Recensione di Surfshark VPN: è economico, ma è buono? I migliori browser per la privacy Sicurezza informatica 101: proteggi la tua privacy I migliori software e app antivirus Le migliori VPN per uso aziendale e domestico Le migliori chiavi di sicurezza per 2FA La minaccia ransomware è in crescita: cosa deve succedere per impedire che gli attacchi peggiorino? (ZDNet YouTube)
Argomenti correlati:
Data Management Security TV CXO Data Center 