Chave ‘master’ do REvil aparece em postagem no GitHub

Da Redação
11/08/2021

Analistas da Flashpoint localizaram numa postagem em russo no fórum XSS uma chave criptográfica identificada como sendo a ‘master key’ utilizada nas operações do ransomware REvil. Em tese essa chave decodificaria qualquer arquivo criptografado nas campanhas desse grupo, que aparentemente deixou de operar após ter recebido US$ 11 mihões de resgate da empresa JBS USA, que faz parte do grupo brasileiro JBS.

A postagem no XSS foi feita por um agente de ameaças com o nome de “Ekranoplan” e os dados da chave estão numa captura de tela, em endereço que ele apontou no Github. Os analistas da Flashpoint conseguiram utilizar essa chave na restauração de dados encriptados durante o ataque de ransomware à Kaseya, e estão pesquisando se existe uma aplicabilidade mais ampla.

O usuário Ekranoplan compartilhou o link da captura de tela em 6 de agosto de 2021. Esse usuário não parece ter mais nenhum histórico de postagem no fórum, informa a Flashpoint: “Vários usuários questionaram a utilidade de uma captura de tela para descriptografar arquivos, aos quais Ekranoplan respondeu em russo: ‘Isso foi fornecido a nós por nossa empresa controladora e deve funcionar para todas as vítimas do REVil, não apenas para nós’. Embora as origens do Ekranoplan sejam desconhecidas, os analistas do Flashpoint testaram a chave com o descriptografador do REvil”, informou a empresa.

Os pesquisadores da Flashpoint corrigiram o binário do descriptografador com a chave apontada no thread e tiveram sucesso na tentativa de descriptografar com sucesso uma sandbox infectada experimentalmente com uma amostra de teste do REvil. Foi feita a alteração das extensões de arquivo para “universal_tool_xxx_yyy” como indicado na captura de tela. Os arquivos foram descriptografados corretamente após as extensões de arquivo serem renomeadas.

Tela com a chave divulgada no GitHub em hxxps://github[.]com/Fr3akaLmaTT3r/decryptor/blob/main/screenshot.png

O REvil (também conhecido como “Sodinokibi” ou “Sodin”) é um grupo de ameaças de extorsão de ransomware russo responsável por vários incidentes de ransomware de alta visibilidade nos últimos meses, incluindo o ataque contra o provedor de tecnologia Kaseya. Embora o REvil tenha sido supostamente encerrado suas atividades em julho de 2021, muitos de seus alvos permanecem prejudicados por suas atividades, e outros grupos relacionados ao REvil surgiram recentemente, contam os analistas da Flashpoint.

Com informações de agências de notícias internacionais

Compartilhar: