Chave ‘master’ do REvil aparece em postagem no GitHub

Chave funcionou em teste da Flashpoint e em tese decodificaria qualquer arquivo criptografado nas campanhas do grupo REvil
Da Redação
11/08/2021
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

Analistas da Flashpoint localizaram numa postagem em russo no fórum XSS uma chave criptográfica identificada como sendo a ‘master key’ utilizada nas operações do ransomware REvil. Em tese essa chave decodificaria qualquer arquivo criptografado nas campanhas desse grupo, que aparentemente deixou de operar após ter recebido US$ 11 mihões de resgate da empresa JBS USA, que faz parte do grupo brasileiro JBS.

A postagem no XSS foi feita por um agente de ameaças com o nome de “Ekranoplan” e os dados da chave estão numa captura de tela, em endereço que ele apontou no Github. Os analistas da Flashpoint conseguiram utilizar essa chave na restauração de dados encriptados durante o ataque de ransomware à Kaseya, e estão pesquisando se existe uma aplicabilidade mais ampla.

O usuário Ekranoplan compartilhou o link da captura de tela em 6 de agosto de 2021. Esse usuário não parece ter mais nenhum histórico de postagem no fórum, informa a Flashpoint: “Vários usuários questionaram a utilidade de uma captura de tela para descriptografar arquivos, aos quais Ekranoplan respondeu em russo: ‘Isso foi fornecido a nós por nossa empresa controladora e deve funcionar para todas as vítimas do REVil, não apenas para nós’. Embora as origens do Ekranoplan sejam desconhecidas, os analistas do Flashpoint testaram a chave com o descriptografador do REvil”, informou a empresa.

Os pesquisadores da Flashpoint corrigiram o binário do descriptografador com a chave apontada no thread e tiveram sucesso na tentativa de descriptografar com sucesso uma sandbox infectada experimentalmente com uma amostra de teste do REvil. Foi feita a alteração das extensões de arquivo para “universal_tool_xxx_yyy” como indicado na captura de tela. Os arquivos foram descriptografados corretamente após as extensões de arquivo serem renomeadas.

Tela com a chave divulgada no GitHub em hxxps://github[.]com/Fr3akaLmaTT3r/decryptor/blob/main/screenshot.png

O REvil (também conhecido como “Sodinokibi” ou “Sodin”) é um grupo de ameaças de extorsão de ransomware russo responsável por vários incidentes de ransomware de alta visibilidade nos últimos meses, incluindo o ataque contra o provedor de tecnologia Kaseya. Embora o REvil tenha sido supostamente encerrado suas atividades em julho de 2021, muitos de seus alvos permanecem prejudicados por suas atividades, e outros grupos relacionados ao REvil surgiram recentemente, contam os analistas da Flashpoint.

Com informações de agências de notícias internacionais

Compartilhar:

Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest