Bitdefender heeft een universele decryptor uitgebracht voor REvil/Sodinokibi-slachtoffers die vóór 13 juli 2021 zijn geïnfecteerd.
In een verklaring zei het cyberbeveiligingsbedrijf dat het de tool heeft gemaakt met “een vertrouwde wetshandhavingspartner” in een poging om de vele slachtoffers te helpen die besmet waren met de ransomware.
Er zijn meerdere REvil-slachtoffers die ofwel weigerden losgeld te betalen of losgeld betaalden, maar geen werkende decoderingssleutels kregen voordat de ransomware-groep op 13 juli op de vlucht sloeg na een massale aanval van 4 juli op Kaseya, een ontwikkelaar van oplossingen voor MSP's en zakelijke klanten.
De groep is sindsdien opgedoken en heeft informatie over meerdere slachtoffers gelekt, en heeft donderdag zelfs een nieuw slachtoffer aangekondigd toen Bitdefender zijn decryptor uitrolde.
Bogdan Botezatu, directeur van dreigingsonderzoek en rapportage bij Bitdefender, vertelde ZDNet dat ze tientallen downloads van de decryptor begonnen te zien zodra ze deze hadden vrijgegeven. Het bedrijf is ook privé benaderd door verschillende slachtoffers die sinds het ontstaan van de groep op hulp wachten.
Botezatu merkte op dat het onmogelijk is om in te schatten hoeveel slachtoffers REvil sinds 2019 heeft weten te infecteren, omdat niet alle slachtoffers infecties melden of hulp zoeken.
Toen hem werd gevraagd waarom de decryptor alleen werkt voor slachtoffers die vóór 13 juli zijn geïnfecteerd en niet daarna, zei Botezatu dat hij geen details kon bespreken, maar legde hij uit dat het belangrijkste verschil “gerelateerd is aan de decryptiesleutels die we beschikbaar hebben van onze vertrouwde wetshandhavingspartner. “
“We hebben de tool getest tegen recente aanvallen en onze tool kan aanvallen na 13 juli nog niet decoderen”, aldus Botezatu.
“We zijn blij dat we slachtoffers helpen die getroffen zijn. Net als andere onderzoekers uit de sector hebben we de REvil-activiteit weer zien opstarten. Op basis van onze ervaring zijn we van mening dat nieuwe ransomware-aanvallen op handen zijn en dat organisaties van elke omvang en in alle sectoren actief moeten zijn groot alarm.”
Botezatu voegde toe dat het bedrijf werkt aan nieuwe versies van decryptors, evenals aan decryptors van de meest prominente families van ransomware.
In een langere verklaring zei Bitdefender dat slachtoffers met versleutelde gegevens in de steek werden gelaten toen delen van REvil's infrastructuur offline gingen en bevestigde dat ze niet in staat zullen zijn om commentaar te geven op bepaalde details van de zaak totdat ze zijn toegestaan door “de leidende onderzoekswet”. handhavingspartner.”
“Beide partijen vinden het belangrijk om de universele decryptor vrij te geven voordat het onderzoek is afgerond om zoveel mogelijk slachtoffers te helpen”, aldus Bitdefender. “We denken dat nieuwe REvil-aanvallen op handen zijn nadat de servers en ondersteunende infrastructuur van de ransomware-bende onlangs weer online zijn gegaan na een onderbreking van twee maanden. We dringen er bij organisaties op aan alert te zijn en de nodige voorzorgsmaatregelen te nemen.”
Het bedrijf merkte op dat REvil-operators hoogstwaarschijnlijk zijn gevestigd in een land van het Gemenebest van Onafhankelijke Staten (GOS) en dat de groep in 2019 naar voren kwam als een afgeleide van de GandCrab-ransomware. REvil heeft duizenden bedrijven over de hele wereld aangevallen en exorbitante losgelden geëist in ruil voor niet lekkende gegevens.
Brett Callow, expert op het gebied van ransomware en Emsisoft-bedreigingsanalist, die heeft gewerkt aan decryptors voor andere ransomware-soorten, zei dat de release zeker alle slachtoffers van vóór 13 juli zal helpen die hun gegevens in de weken daarna niet volledig op andere manieren hebben kunnen herstellen.< /p>
“Het feit dat de decryptor 'gemaakt is in samenwerking met een vertrouwde wetshandhavingspartner' zou impliceren dat die partner de sleutels had teruggekregen,” voegde Callow eraan toe.
Callow merkte op dat REvil dit jaar minstens 360 in de VS gevestigde organisaties heeft aangevallen. De onderzoekssite RansomWhere zegt dat de groep dit jaar minstens $ 11 miljoen heeft binnengehaald, met opvallende aanvallen op Acer, JBS, Quanta Computer en meer.
Beveiliging
T-Mobile hack: alles wat je moet weten Surfshark VPN review: het is goedkoop, maar is het ook goed? De beste browsers voor privacy Cyberbeveiliging 101: bescherm uw privacy De beste antivirussoftware en apps De beste VPN's voor zakelijk en thuisgebruik De beste beveiligingssleutels voor 2FA De ransomware-dreiging groeit: wat moet er gebeuren om te voorkomen dat aanvallen erger worden? (ZDNet YouTube)
Verwante onderwerpen:
Gegevensbeheer Beveiliging TV CXO-datacenters 