Универсальный ключ дешифрования REvil Касеи просочился на хакерский форум

77
Сетевые хакеры сосредоточены на продаже дорогостоящих целей в США.

Универсальный ключ дешифрования для атаки REvil на клиентов Касеи просочился на хакерских форумах, что позволило исследователям впервые увидеть загадочный ключ.

2 июля банда вымогателей REvil начала массированную атаку на поставщиков управляемых услуг по всему миру, используя уязвимость нулевого дня в приложении удаленного управления Kaseya VSA.

Эта атака зашифровала около шестидесяти поставщиков управляемых услуг и около 1500 предприятий, что сделало ее, возможно, крупнейшей атакой с использованием программ-вымогателей в истории.

После атаки злоумышленники потребовали выкуп в размере 70 миллионов долларов за универсальный дешифратор, с помощью которого можно было бы расшифровать всех жертв атаки программы-вымогателя Kaseya.

Однако банда вымогателей REvil таинственным образом исчезла , и вскоре после этого платежные сайты и инфраструктура Tor были закрыты.

Исчезновение банды помешало компаниям, которым, возможно, потребовалось приобрести дешифратор, теперь не могли этого сделать.

22 июля Касея получил универсальный ключ дешифрования для атаки вымогателя от таинственной «доверенной третьей стороны» и начал распространять его среди пострадавших клиентов.

Перед тем, как поделиться дешифратором с клиентами, CNN сообщила, что Касея потребовала от них подписать соглашение о неразглашении, что может объяснить, почему ключ дешифрования не показывался до сих пор.

Принято считать, что российская разведка получила дешифратор от банды вымогателей и передала его правоохранительным органам США в качестве жеста доброй воли.

Ключ дешифрования просочился на хакерский форум

Вчера исследователь безопасности Pancak3 сообщил BleepingComputer, что кто-то опубликовал на хакерском форуме скриншот того, что, по их словам, является универсальным дешифратором REvil.

Когда жертвы вымогателей REvil платят выкуп, они получают либо дешифратор, который работает для одного зашифрованного расширения файла, либо универсальный дешифратор, который работает для всех зашифрованных расширений файлов, используемых в конкретной кампании или атаке.

На приведенном выше снимке экрана показан универсальный дешифратор REvil, который может расшифровать все расширения, связанные с атакой.

Для ясности: хотя изначально предполагалось, что ключ дешифрования на этом скриншоте может быть главным «операторским» ключом для всех кампаний REvil, BleepingComputer подтвердил, что это только универсальный ключ дешифратора для жертв атаки Kaseya.

Это также подтвердил технический директор Emsisoft и эксперт по программам-вымогателям Фабиан Восар.

Компания по безопасности Flashpoint также подтвердила, что с помощью этого ключа дешифрования они могут расшифровать файлы, зашифрованные во время атаки вымогателя Kaseya.

Мы также опробовали дешифратор на других образцах REvil, которые мы накопили за последние два года. Декриптор не работал, что указывает на то, что он не является основным ключом дешифрования для всех жертв REvil.

Непонятно, почему дешифратор Kaseya был размещен на хакерском форуме, который жертва вряд ли может разместить.

Однако многочисленные источники в сфере кибербезопасности сообщили BleepingComputer, что, по их мнению, плакат связан с бандой вымогателей REvil, а не с жертвой.

Независимо от причин, по которым он был опубликован, для тех, кто следит за атакой программы-вымогателя Kaseya, это наш первый доступ к универсальному ключу дешифратора, который таинственным образом получил Kaseya.

Последнее обновление 1 год назад — GameZoom

0 0 голоса
Рейтинг статьи
Подписаться
Уведомить о
guest

0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии