Liberan gratuitamente el descifrador universal para el peligroso ransomware REvil
Víctimas del mal, sus plegarias han sido respondidas: hay una clave descifradora universal esperando para liberarlos.
Bitdefender lanzó una clave descifradora universal y gratuita para desbloquear datos de organizaciones victimizadas que fueron cifradas por ataques del ransomware REvil/Sodinokibi antes de que los servidores de la banda colapsaran el 13 de julio.
La firma anunció que está regalando la clave universal desde el jueves por la mañana, pocos días después de que REvil apareció nuevamente.
Bitdefender, una empresa de ciberseguridad con sede en Rumanía, no compartió detalles sobre cómo desarrolló la clave. La empresa se limitó a decir que fue creada “en colaboración con un socio policial confiable”. Y, que ayudará a las entidades que fueron atacadas antes que partes de la infraestructura de REvil se desactivara el 13 de julio.
“Tengan en cuenta que se trata de una investigación en curso y no podemos comentar sobre los detalles relacionados con este caso hasta que lo autorice el principal socio policial investigador. Ambas partes creemos que es importante liberar el descifrador universal antes de que se complete la investigación para ayudar a tantas víctimas como sea posible”.
Bitdefender.
Cuando REvil cerró operaciones, dejó a las víctimas afectadas a la deriva, incapaces de continuar con las negociaciones que se cortaron abruptamente. Y, por lo tanto, no pudieron obtener una clave de descifrado. La herramienta de descifrado que ofrece Bitdefender ayudará a las víctimas a recuperar el control de sus datos y activos.
Cómo conseguir la clave
Las víctimas del ransomware REvil pueden descargar la nueva herramienta de descifrado de forma gratuita para recuperar sus datos. Deben consultar la publicación de Bitdefender aquí.
El tutorial paso a paso sobre cómo usar la herramienta de descifrado REvil lo puedes encontrar aquí.
¿Quién es REvil/Sodinokibi?
REvil es un operador de ransomware como servicio (RaaS) probablemente con sede en un país de la Comunidad de Estados Independientes (CEI). Surgió en 2019 como sucesor del ahora desaparecido ransomware GandCrab. REvil/Sodinokibi es uno de los ransomwares más prolíficos de la Dark Web. Los afiliados han atacado a miles de empresas de tecnología, MSP y minoristas de todo el mundo.
Después de cifrar con éxito los datos de una empresa, los afiliados de REvil exigen grandes rescates, hasta $70 millones, a cambio de una clave de descifrado. Como “incentivo”, la banda promete no publicar los datos que robó durante el ataque.
Su mayor golpe antes de desaparecer fue el ataque de Kaseya: un ataque que atrapó a miles de proveedores de servicios administrados (MSP).
A partir del 2 de julio, la banda REvil lanzó lo que equivaldría a más de 5,000 ataques en 22 países contra la plataforma Kaseya Virtual System/Server Administrator (VSA).
Jerarquía de claves de REvil
Cuando se trata de claves de descifrado, REvil, así como otros grupos RaaS, utiliza una jerarquía de claves.
Yelisey Boguslavskiy, jefa de investigación de Advanced Intelligence, explicó que cada afiliado de RaaS puede obtener su propia clave para desbloquear a la víctima, si la víctima paga. Sin embargo, esa clave solo funcionará para esa víctima específica. Es por eso que la clave que obtuvo Kaseya no funcionó para desbloquear a otras víctimas de REvil.
También hay una clave universal propiedad del equipo central para un conjunto de víctimas como Kaseya. Esa clave universal puede cubrir múltiples redes y estaciones de trabajo.
Supuestamente, esta clave fue liberada después del ataque de Kaseya por un error cometido por uno de los programadores de la banda.
Además, hay una “clave de operador” o una “clave maestra” utilizada por los principales líderes de RaaS,
Clave maestra
La clave maestra puede desbloquear a cualquier víctima, pero la que obtuvo Kaseya no era la clave maestra. De hecho, Advanced Intelligence “nunca había visto esta clave antes”. A continuación, se muestra una captura de pantalla que Advanced Intel tomó de una conversación en el foro de la Dark Web sobre el tema de las claves de descifrado:
Esta clave maestra es la que ahora ofrece Bitdefender.
Si bien Bitdefender no puede compartir detalles sobre la clave, dado que la empresa mencionó un “socio de cumplimiento de la ley de confianza”, Boguslavskiy hizo conjeturas al respecto. Bitdefender probablemente “llevó a cabo una operación avanzada conjunta con las autoridades en los servidores centrales e infraestructuras de REvil. Y, de alguna manera fue capaz de reconstruir u obtener la clave maestra”.
El uso de la clave en un descifrador desbloqueará a cualquier víctima, a menos que REvil rediseñe todo su conjunto de malware.
Pero incluso si el REvil renacido rediseñó el conjunto de malware original, la clave aún podrá desbloquear a las víctimas que fueron atacadas antes del 13 de julio.
Advanced Intel monitorea a los principales actores en todas las discusiones clandestinas, incluso en XSS. XSS es un foro ruso creado para compartir conocimientos sobre exploits, vulnerabilidades, malware y penetración de redes. Hasta ahora, la firma de inteligencia no ha detectado ninguna discusión sustancial sobre la clave universal en estos foros clandestinos.
Deus Ex machina
Dirk Schrader, vicepresidente global de investigación de seguridad en NNT, ahora parte de Netwrix, señaló que estos descifradores son “la última esperanza de las víctimas. Y, como tal, la representación de seguridad cibernética del ‘deus ex machina‘ conocido en el drama griego antiguo”.
Pero si bien es bueno tenerlos como último recurso, las entidades no pueden contar con tener uno como línea central de defensa contra las amenazas. Tal descifrador podría ayudar a desbloquear archivos y restaurar el acceso a los datos. Empero, no abordará preguntas como ‘¿por qué nos convertimos en una víctima de ransomware en primer lugar?’ o ‘¿qué más han hecho los atacantes?’
Renacimiento de REvil – ¿payasos o profesionales?
Bitdefender cree que los nuevos ataques de REvil son “inminentes”, dado que los servidores y la infraestructura de soporte de la banda de ransomware recientemente volvieron a estar en línea después de una pausa de dos meses. “Instamos a las organizaciones a estar en alerta máxima y tomar las precauciones necesarias”, dijo la firma en su comunicado de prensa.
Pero el RaaS criminal clandestino, por su parte, no está tan impresionado por el renacer de REvil. Tomemos la historia sobre el error del supuesto programador de REvil que condujo a una generación y emisión de claves: simplemente no es así como funciona el ransomware.
Por el contrario, los grupos de primer nivel, como REvil, utilizan paneles de administración avanzados. Estos son sistemas complejos de gestión de procesos desarrollados que se ven y funcionan de manera similar a las plataformas de software legítimas como JIRA.
Un ataque de ransomware desde los ojos del operador se parece más a un proceso empresarial. Los afiliados obtienen acceso y lo validan con el equipo principal de desarrolladores. Esto se hace a menudo a través de un sistema de tickets que permite a la gerencia moderar y evaluar los posibles objetivos. Solo cuando se completa el proceso de emisión de tickets, el afiliado puede comenzar a avanzar con el ataque al recibir el payload de la administración.
Las negociaciones y la publicación de datos a menudo se realizan de la misma manera en que se crea un ticket. Es decir, la administración proporcionará la clave de descifrado generada para esta víctima específica.
Esperamos que la “nueva banda” REvil sea, de hecho, solo un tipo tratando de explotar el prestigioso nombre. Asimismo, esperamos que la clave universal de Bitdefender ayude a las víctimas a despertar de su pesadilla de ransomware.
