Неизвестный опубликовал универсальный дешифратор для зашифрованных REvil файлов
12/08/21
Универсальный ключ для расшифровки файлов, зашифрованных вымогательским ПО REvil в ходе атаки на клиентов компании Kaseya, был опубликован на хакерском форуме, благодаря чему у исследователей появилась возможность изучить этот загадочный инструмент.
2 июля нынешнего года кибервымогательская группировка REvil атаковала поставщиков управляемых сервисов по всему миру через уязвимость нулевого дня в приложении для удаленного управления Kaseya VSA. После атаки вымогатели потребовали $70 млн за универсальный инструмент, который позволил бы восстановить зашифрованные файлы всех клиентов Kaseya.
Однако затем группировка REvil таинственным образом прекратила свое существование, а ее кошельки и вся инфраструктура были отключены. 22 июля Kaseya получила универсальный декриптор от загадочной «третьей стороны» и стала распространять его среди своих клиентов. Для того чтобы его поучить, компании обязаны были сначала подписать соглашение о неразглашении.
Бытует мнение, что декриптор у киберпреступников отобрали российские спецслужбы и передали американским коллегам как жест доброй воли.
10 августа исследователь безопасности Pancak3 сообщил порталу BleepingComputer, что кто-то опубликовал на одном из хакерских форумов скриншот, на котором якобы изображен универсальный ключ для восстановления зашифрованных REvil файлов. В публикации была ссылка на скриншот на GitHub, где был изображен запущенный декриптор REvil, отображающий хешированный с помощью base64 ключ 'master_sk'. Ключ выглядит следующим образом: 'OgTD7co7NcYCoNj8NoYdPoR8nVFJBO5vs/kVkhelp2s='.
BleepingComputer удалось расшифровать виртуальную машину с образцами вымогателя REvil, использовавшимися в атаке Kaseya. Эксперты ИБ-компании Flashpoint также подтвердили , что с помощью этого ключа им удалось расшифровать файлы, зашифрованные в ходе атаки на Kaseya.
Эксперты опробовали декриптор на других образцах REvil, собранные за последние два года. Декриптор не работал, а значит, это не мастер-ключ дешифрования для всех жертв REvil.
По каким причинам инструмент был опубликован на хакерском форуме, доступа к которым у жертв вымогательского ПО нет, неизвестно. Как сообщили многочисленные источники BleepingComputer в сфере кибербезопасности, по их мнению, публикация связана с самой киберпреступной группировкой REvil, а не с ее жертвами.