Bitdefender uratuje zaszyfrowane pliki przez ransomware REvil (Sodinokibi)

17 września, 2021

Specjaliści w pierwszym półroczu bieżącego roku byli zgodni co do wzrostu ataków ransomware oraz trendu z jakim musieli się zmagać – tak zwanego „potrójnego wymuszenia”. W ciągu ostatnich 6 miesięcy liczba ataków dla okupu praktycznie się podwoiła (wzrost o 93%)! Co więcej, w najbardziej radykalnej formule, oprócz kradzieży poufnych danych od organizacji i grożenia ich publicznym ujawnieniem bez dokonania płatności, napastnicy atakują również klientów lub partnerów biznesowych firmy, która padła ofiarą cyberataku i żądają od nich okupu. Ten innowacyjny atak został nazwany przez Check Point jako „Triple Extortion”, czyli potrójne wymuszenie.

W pierwszym półroczu 2021 roku nasiliły się ataki w łańcuchu dostaw. Najgłośniejszym tego typu atakiem był SolarWinds, który wyróżnił się ze względu na swoją skalę i wpływ. Eksperci zwracają uwagę, że podobny wyrafinowany atak na łańcuch dostaw miał miejsce w kwietniu w przypadku Codecov, natomiast na początku lipca rosyjskojęzyczna grupa REvil shakowała dostawcę Kaseya, co przyczyniło się do zaatakowania około 1000 przedsiębiorstw, głównie w Stanach Zjednoczonych.

Cybergang REvil (znany również jako Sodinokibi)

Cyberprzestępcza grupa posługująca się arsenałem narzędzi, w tym ransomware REvil, została dokładnie przeanalizowana przez badaczy bezpieczeństwa. Hakerzy zasłynęli z dużego ataku na dostawców usług zarządzanych (MSP) praz ich klientów na całym świecie – podaje firma Kaspersky. Eksperci zaobserwowali ponad 5 000 prób ataków w 22 państwach, najwięcej we Włoszech (45,2% odnotowanych prób ataków), Stanach Zjednoczonych (25,91%), Kolumbii (14,83%), Niemczech (3,21%) oraz Meksyku (2,21%).

REvil zachodził za skórę organizacjom na całym świecie jeszcze w roku 2020, ponieważ już wtedy hakerzy stojący za ranosmware Sodinokibi (REvil) mogli się „pochwalić” 15,4 procentowym udziałem w rynku cyberataków ransomware, zaś szkodliwe oprogramowanie Maze, Fobos i Netwalker kontrolowało po około 7 proc. Co więcej Bitdefender już zeszłego lata ostrzegał przed ugrupowaniem REvil/Sodinokibi.

Ransomware REvil według Cisco

Grupa ekspertów ds. bezpieczeństwa z zespołu Cisco Talos Incident Response (CTIR) wskazuje na ransomware jako główne cyberzagrożenie w drugim kwartale 2021 roku. Ten rodzaj ataków odpowiadał za niemal połowę wszystkich incydentów. Przypadki ransomware występowały trzy razy częściej niż kolejny typ zagrożeń ujęty w zestawieniu.

Do najczęściej spotykanych rodzin ransomware w statystykach Cisco zaliczamy:

  • REvil
  • Conti
  • WastedLocker
  • Darkside
  • Zeppeli
  • Ryuk
  • Mount Locker
  • Avaddon

Deszyfracja plików dzięki narzędziu od Bitdefender

Bitdefenderowi udało się opracować dekryptor dla ransomware REvil. Narzędzie zostało opracowane przy współpracy z organami ścigania. Nieoficjalnie mówi się o przejęciu serwera z kluczami szyfrującymi, bez których nie udałoby się opracować uniwersalnego oprogramowania do deszyfrowania danych.

Deszyfrator dla REvil (Sodinokibi) powinien działać na zaszyfrowanych plikach przed 13 lipca 2021 roku, czyli od dnia, kiedy infrastruktura hakera została wyłączona, pozostawiając ofiary z zaszyfrowanymi plikami samym sobie (bez możliwości zapłaty okupu, czego eksperci i tak odradzają).

Bitdefender publikuje niezbędne instrukcje polegające na pobraniu graficznego programu dla Windows oraz sposób postępowania krok po kroku.

bitdefender REvil dekryptor
Dekryptor dla ransomware REvil opracowany przez Bitdefender.

Według ekspertów REvil jest następcą ransomware GandCrab. Po udanym zaszyfrowaniu danych przestępcy żądali wysokich okupów sięgających nawet 70 milionów dolarów w zamian za klucz deszyfrujący i zapewnienie, że nie opublikują skradzionych danych, który wyciekły podczas ataku.

Ofiary ransomware Revil mogą za darmo pobrać narzędzie deszyfrujące i spróbować przywrócić dane do stanu używalności.

Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Kliknij na gwiazdkę, aby zagłosować!

Średnia ocena: 0 / 5. Liczba głosów: 0

Jak na razie nikt nie podzielił się opinią.

guest
0 komentarzy
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]