馃槑 60% Descuento:  Curso de Hacking Redes Inal谩mbricas >> Ver M谩s

Liberan gratuitamente el descifrador universal para el peligroso ransomware REvil

V铆ctimas del mal, sus plegarias han sido respondidas: hay una clave descifradora universal esperando para liberarlos.

Bitdefender lanz贸 una clave descifradora universal y gratuita para desbloquear datos de organizaciones victimizadas que fueron cifradas por ataques del ransomware REvil/Sodinokibi antes de que los servidores de la banda colapsaran el 13 de julio.

La firma anunci贸 que est谩 regalando la clave universal desde el jueves por la ma帽ana, pocos d铆as despu茅s de que REvil apareci贸 nuevamente.

Bitdefender, una empresa de ciberseguridad con sede en Ruman铆a, no comparti贸 detalles sobre c贸mo desarroll贸 la clave. La empresa se limit贸 a decir que fue creada “en colaboraci贸n con un socio policial confiable”. Y, que ayudar谩 a las entidades que fueron atacadas antes que partes de la infraestructura de REvil se desactivara el 13 de julio.

“Tengan en cuenta que se trata de una investigaci贸n en curso y no podemos comentar sobre los detalles relacionados con este caso hasta que lo autorice el principal socio policial investigador. Ambas partes creemos que es importante liberar el descifrador universal antes de que se complete la investigaci贸n para ayudar a tantas v铆ctimas como sea posible”.

Bitdefender.

Cuando REvil cerr贸 operaciones, dej贸 a las v铆ctimas afectadas a la deriva, incapaces de continuar con las negociaciones que se cortaron abruptamente. Y, por lo tanto, no pudieron obtener una clave de descifrado. La herramienta de descifrado que ofrece Bitdefender ayudar谩 a las v铆ctimas a recuperar el control de sus datos y activos.

C贸mo conseguir la clave

Las v铆ctimas del ransomware REvil pueden descargar la nueva herramienta de descifrado de forma gratuita para recuperar sus datos. Deben consultar la publicaci贸n de Bitdefender aqu铆.

El tutorial paso a paso sobre c贸mo usar la herramienta de descifrado REvil lo puedes encontrar aqu铆.

驴Qui茅n es REvil/Sodinokibi?

REvil es un operador de ransomware como servicio (RaaS) probablemente con sede en un pa铆s de la Comunidad de Estados Independientes (CEI). Surgi贸 en 2019 como sucesor del ahora desaparecido ransomware GandCrab. REvil/Sodinokibi es uno de los ransomwares m谩s prol铆ficos de la Dark Web. Los afiliados han atacado a miles de empresas de tecnolog铆a, MSP y minoristas de todo el mundo.

Despu茅s de cifrar con 茅xito los datos de una empresa, los afiliados de REvil exigen grandes rescates, hasta $70 millones, a cambio de una clave de descifrado. Como 鈥渋ncentivo鈥, la banda promete no publicar los datos que rob贸 durante el ataque.

Su mayor golpe antes de desaparecer fue el ataque de Kaseya: un ataque que atrap贸 a miles de proveedores de servicios administrados (MSP).

A partir del 2 de julio, la banda REvil lanz贸 lo que equivaldr铆a a m谩s de 5,000 ataques en 22 pa铆ses contra la plataforma Kaseya Virtual System/Server Administrator (VSA). 

Jerarqu铆a de claves de REvil

Cuando se trata de claves de descifrado, REvil, as铆 como otros grupos RaaS, utiliza una jerarqu铆a de claves.

Yelisey Boguslavskiy, jefa de investigaci贸n de Advanced Intelligence, explic贸 que cada afiliado de RaaS puede obtener su propia clave para desbloquear a la v铆ctima, si la v铆ctima paga. Sin embargo, esa clave solo funcionar谩 para esa v铆ctima espec铆fica. Es por eso que la clave que obtuvo Kaseya no funcion贸 para desbloquear a otras v铆ctimas de REvil.

Tambi茅n hay una clave universal propiedad del equipo central para un conjunto de v铆ctimas como Kaseya. Esa clave universal puede cubrir m煤ltiples redes y estaciones de trabajo.

Supuestamente, esta clave fue liberada despu茅s del ataque de Kaseya por un error cometido por uno de los programadores de la banda.

Adem谩s, hay una “clave de operador” o una “clave maestra” utilizada por los principales l铆deres de RaaS,

Clave maestra

La clave maestra puede desbloquear a cualquier v铆ctima, pero la que obtuvo Kaseya no era la clave maestra. De hecho, Advanced Intelligence “nunca hab铆a visto esta clave antes鈥. A continuaci贸n, se muestra una captura de pantalla que Advanced Intel tom贸 de una conversaci贸n en el foro de la Dark Web sobre el tema de las claves de descifrado:

Discusi贸n en la dark web sobre la jerarqu铆a de claves de REvil.

Esta clave maestra es la que ahora ofrece Bitdefender.

Si bien Bitdefender no puede compartir detalles sobre la clave, dado que la empresa mencion贸 un “socio de cumplimiento de la ley de confianza”, Boguslavskiy hizo conjeturas al respecto. Bitdefender probablemente “llev贸 a cabo una operaci贸n avanzada conjunta con las autoridades en los servidores centrales e infraestructuras de REvil. Y, de alguna manera fue capaz de reconstruir u obtener la clave maestra”.

El uso de la clave en un descifrador desbloquear谩 a cualquier v铆ctima, a menos que REvil redise帽e todo su conjunto de malware.

Pero incluso si el REvil renacido redise帽贸 el conjunto de malware original, la clave a煤n podr谩 desbloquear a las v铆ctimas que fueron atacadas antes del 13 de julio.

Advanced Intel monitorea a los principales actores en todas las discusiones clandestinas, incluso en XSS. XSS es un foro ruso creado para compartir conocimientos sobre exploits, vulnerabilidades, malware y penetraci贸n de redes. Hasta ahora, la firma de inteligencia no ha detectado ninguna discusi贸n sustancial sobre la clave universal en estos foros clandestinos. 

Deus Ex machina

Dirk Schrader, vicepresidente global de investigaci贸n de seguridad en NNT, ahora parte de Netwrix, se帽al贸 que estos descifradores son “la 煤ltima esperanza de las v铆ctimas. Y, como tal, la representaci贸n de seguridad cibern茅tica del ‘deus ex machina‘ conocido en el drama griego antiguo”.

Pero si bien es bueno tenerlos como 煤ltimo recurso, las entidades no pueden contar con tener uno como l铆nea central de defensa contra las amenazas. Tal descifrador podr铆a ayudar a desbloquear archivos y restaurar el acceso a los datos. Empero, no abordar谩 preguntas como ‘驴por qu茅 nos convertimos en una v铆ctima de ransomware en primer lugar?’ o ‘驴qu茅 m谩s han hecho los atacantes?’

Renacimiento de REvil 鈥 驴payasos o profesionales?

Bitdefender cree que los nuevos ataques de REvil son “inminentes”, dado que los servidores y la infraestructura de soporte de la banda de ransomware recientemente volvieron a estar en l铆nea despu茅s de una pausa de dos meses. 鈥淚nstamos a las organizaciones a estar en alerta m谩xima y tomar las precauciones necesarias鈥, dijo la firma en su comunicado de prensa.

Pero el RaaS criminal clandestino, por su parte, no est谩 tan impresionado por el renacer de REvil. Tomemos la historia sobre el error del supuesto programador de REvil que condujo a una generaci贸n y emisi贸n de claves: simplemente no es as铆 como funciona el ransomware.

Por el contrario, los grupos de primer nivel, como REvil, utilizan paneles de administraci贸n avanzados. Estos son sistemas complejos de gesti贸n de procesos desarrollados que se ven y funcionan de manera similar a las plataformas de software leg铆timas como JIRA.

Un ataque de ransomware desde los ojos del operador se parece m谩s a un proceso empresarial. Los afiliados obtienen acceso y lo validan con el equipo principal de desarrolladores. Esto se hace a menudo a trav茅s de un sistema de tickets que permite a la gerencia moderar y evaluar los posibles objetivos. Solo cuando se completa el proceso de emisi贸n de tickets, el afiliado puede comenzar a avanzar con el ataque al recibir el payload de la administraci贸n. 

Las negociaciones y la publicaci贸n de datos a menudo se realizan de la misma manera en que se crea un ticket. Es decir, la administraci贸n proporcionar谩 la clave de descifrado generada para esta v铆ctima espec铆fica.

Esperamos que la 鈥渘ueva banda鈥 REvil sea, de hecho, solo un tipo tratando de explotar el prestigioso nombre. Asimismo, esperamos que la clave universal de Bitdefender ayude a las v铆ctimas a despertar de su pesadilla de ransomware.

Deja un comentario

Adquiere tu Membres铆a Anual Wiser

Adquiere tu Membres铆a Anual Wiser y adquiere grandes beneficios

M谩s informaci贸n