Chaves de decriptografia usadas pela gangue digital REvil vazam na dark web
Por Felipe Gugelmin | Editado por Claudio Yuge | 11 de Agosto de 2021 às 22h40
Antes de encerrar suas atividades, a gangue cibercriminosa REVil realizou um dos maiores ataques de ransomware da história contra a Kaseya. O sequestro dos sistemas da empresa resultou em prejuízos a 1,5 mil empresas de mais de 20 países, e a interrupção das atividades do grupo quase fizeram com que o rapto digital pedido sequer pudesse ser pago.
- Encontrada uma chave que pode libertar dados raptados de centenas de empresas
- Grande ataque ransomware atinge hospitais, supermercados e empresas em 20 países
- Empresa de software Kaseya sabia desde 2017 de brechas que levaram a ciberataque
A situação só chegou ao fim quando, nos últimos dias de julho, a companhia afirmou ter encontrado uma chave de criptografia capaz de liberar os sistemas afetados. Antes de iniciar a distribuição da solução para seus clientes, ela exigiu que eles assinassem um acordo em que se comprometiam a não divulgar detalhes sobre a solução — o que não impediu que ela vazasse na dark web.
Conforme informa o site Bleeping Computer, o pesquisador de segurança Pancak3 identificou uma publicação em um fórum dedicado ao hacking no qual o autor diz possuir acesso à chave universal usada pelo REvil. No entanto, esse não é o caso: embora o arquivo compartilhado libere acesso aos sistemas relacionados ao ataque da Kaseya, ele não se trata da chave universal usada pelos cibercriminosos.
Para testar a efetividade do código, o veículo infectou uma máquina virtual com amostras do ransomware usado pelo REVil. Em seguida, a chave de decriptografia foi usada no mesmo ambiente, garantindo acesso aos arquivos que haviam sido bloqueados anteriormente. No entanto, o mesmo não aconteceu quando a solução foi testada em outras amostras mais antigas coletadas nos ataques da gangue.
Chave pode ter sido vazada pela gangue
Ainda não está claro como o arquivo foi parar em um fórum da dark web, mas pesquisadores de segurança acreditam que isso pode ser resultado de agentes ligados ao grupo cibercriminoso. Apesar da divulgação aberta da chave de decriptografia possa ser encarada de forma positiva por quem foi vítima do ataque do Kaseya, pesquisadores acreditam que seu surgimento não foi tão impactante quanto o esperado.
Segundo Jake Williams, CTO da BreachQuest, a maioria das organizações afetadas já havia iniciado a recuperação de seus sistemas usando backups e outras alternativas quando a chave misteriosa veio a público. Com isso, a solução teria maior impacto sobre sistemas bloqueados que não podem ser substituídos de forma alguma e sobre empresas de menor porte, que terceirizam suas soluções de segurança e não têm costume de fazer backups constantes.
Fonte: Bleeping Computer