Bitdefender har gitt ut en universell dekrypteringsenhet for REvil/Sodinokibi -ofre infisert før 13. juli 2021.
I en uttalelse sa cybersikkerhetsfirmaet at det laget verktøyet med “en pålitelig politimann” for å hjelpe de mange ofrene som hadde blitt infisert med ransomware.
Det er flere REvil -ofre som enten nektet å betale løsepenger eller betalte løsepenger, men som ikke fikk fungerende dekrypteringsnøkler før ransomware -gruppen ble mørk 13. juli etter et massivt angrep på Kaseya, et IT -program 4. juli. løsningsutvikler for MSP -er og bedriftskunder.
Gruppen har siden dukket opp og lekket ut informasjon om flere ofre, til og med kunngjort et nytt offer på torsdag da Bitdefender rullet ut dekrypteren.
Bogdan Botezatu, direktør for trusselforskning og rapportering hos Bitdefender, sa til ZDNet at de begynte å se dusinvis av nedlastinger av dekrypteren så snart de slapp den. Selskapet har også blitt kontaktet privat av flere ofre som har ventet på hjelp siden gruppen dukket opp.
Botezatu bemerket at det er umulig å anslå hvor mange ofre REvil har klart å smitte siden 2019 fordi ikke alle ofre rapporterer infeksjoner eller tar kontakt for støtte.
På spørsmål om hvorfor dekrypteren bare fungerer for ofre smittet før 13. juli og ikke etter, sa Botezatu at han ikke kunne diskutere detaljer, men forklarte at hovedforskjellen er “knyttet til dekrypteringsnøklene som vi har tilgjengelig fra vår pålitelige politimann. “
” Vi har testet verktøyet mot nylige angrep, og verktøyet vårt kan ennå ikke dekryptere angrep etter datoen 13. juli, “sa Botezatu.
“Vi er glade for at vi hjelper ofre som har blitt påvirket. Som andre bransjeforskere har vi sett REvil -aktivitet starte opp igjen. Basert på vår erfaring tror vi at nye ransomware -angrep er nært forestående, og organisasjoner i alle størrelser og i alle bransjer bør være på høyt varsel. ”
Botezatu la til at selskapet jobber med nye versjoner av dekryptere, så vel som med dekryptere av de mest fremtredende familiene av ransomware.
I en lengre uttalelse sa Bitdefender at ofre med krypterte data ble stående i stikken da deler av REvils infrastruktur gikk frakoblet og bekreftet at de ikke vil kunne kommentere visse detaljer i saken før de får lov av “lederen for etterforskning av loven” håndhevelsespartner. ”
“Begge parter mener det er viktig å slippe den universelle dekrypteren før etterforskningen er fullført for å hjelpe så mange ofre som mulig,” sa Bitdefender. “Vi tror nye REvil -angrep er nært forestående etter at ransomware -gjengens servere og støtteinfrastruktur nylig kom tilbake på nettet etter to måneders pause. Vi oppfordrer organisasjoner til å være i høy beredskap og ta nødvendige forholdsregler.”
Selskapet bemerket at REvil -operatører mest sannsynlig er basert i et Commonwealth of Independent States (CIS) -land, og at gruppen dukket opp som et derivat av GandCrab -ransomware i 2019. REvil har angrepet tusenvis av selskaper over hele verden og krevd ublu løsepenger i retur for ikke lekkende data.
Ransomware-ekspert og Emsisoft-trusselanalytiker Brett Callow, som har jobbet med dekryptere for andre ransomware-stammer, sa at utgivelsen definitivt vil hjelpe eventuelle ofre før 13. juli som ikke har klart å gjenopprette dataene sine på andre måter i ukene siden. < /p>
“Det faktum at dekrypteren ble” opprettet i samarbeid med en pålitelig politimyndighetspartner “, ville innebære at partneren hadde gjenopprettet nøklene,” la Callow til.
Callow bemerket at REvil angrep minst 360 amerikanske organisasjoner i år. RansomWhere -forskningsnettstedet sier at gruppen har brakt inn minst 11 millioner dollar i år, med høyprofilerte angrep på Acer, JBS, Quanta Computer og mer.
Sikkerhet
T-Mobile-hack: Alt du trenger å vite Surfshark VPN-anmeldelse: Det er billig, men er det bra? De beste nettleserne for personvern Cybersikkerhet 101: Beskytt personvernet ditt Den beste antivirusprogramvaren og appene De beste VPN -ene for bedrifter og hjemmebruk De beste sikkerhetsnøklene for 2FA Truselen mot ransomware vokser: Hva må skje for å stoppe angrepene som blir verre? (ZDNet YouTube)
Relaterte emner:
Datahåndteringssikkerhet TV CXO datasentre