Bitdefender uratuje zaszyfrowane pliki przez ransomware REvil (Sodinokibi)

17 09 2021

Specjaliści w pierwszym półroczu bieżącego roku byli zgodni co do wzrostu ataków ransomware oraz trendu z jakim musieli się zmagać – tak zwanego „potrójnego wymuszenia”. W ciągu ostatnich 6 miesięcy liczba ataków dla okupu praktycznie się podwoiła (wzrost o 93%)! Co więcej, w najbardziej radykalnej formule, oprócz kradzieży poufnych danych od organizacji i grożenia ich publicznym ujawnieniem bez dokonania płatności, napastnicy atakują również klientów lub partnerów biznesowych firmy, która padła ofiarą cyberataku i żądają od nich okupu. Ten innowacyjny atak został nazwany przez Check Point jako „Triple Extortion”, czyli potrójne wymuszenie.

W pierwszym półroczu 2021 roku nasiliły się ataki w łańcuchu dostaw. Najgłośniejszym tego typu atakiem był SolarWinds, który wyróżnił się ze względu na swoją skalę i wpływ. Eksperci zwracają uwagę, że podobny wyrafinowany atak na łańcuch dostaw miał miejsce w kwietniu w przypadku Codecov, natomiast na początku lipca rosyjskojęzyczna grupa REvil shakowała dostawcę Kaseya, co przyczyniło się do zaatakowania około 1000 przedsiębiorstw, głównie w Stanach Zjednoczonych.

Cybergang REvil (znany również jako Sodinokibi)

Cyberprzestępcza grupa posługująca się arsenałem narzędzi, w tym ransomware REvil, została dokładnie przeanalizowana przez badaczy bezpieczeństwa. Hakerzy zasłynęli z dużego ataku na dostawców usług zarządzanych (MSP) praz ich klientów na całym świecie – podaje firma Kaspersky. Eksperci zaobserwowali ponad 5 000 prób ataków w 22 państwach, najwięcej we Włoszech (45,2% odnotowanych prób ataków), Stanach Zjednoczonych (25,91%), Kolumbii (14,83%), Niemczech (3,21%) oraz Meksyku (2,21%).

REvil zachodził za skórę organizacjom na całym świecie jeszcze w roku 2020, ponieważ już wtedy hakerzy stojący za ranosmware Sodinokibi (REvil) mogli się „pochwalić” 15,4 procentowym udziałem w rynku cyberataków ransomware, zaś szkodliwe oprogramowanie Maze, Fobos i Netwalker kontrolowało po około 7 proc. Co więcej Bitdefender już zeszłego lata ostrzegał przed ugrupowaniem REvil/Sodinokibi.

Ransomware REvil według Cisco

Grupa ekspertów ds. bezpieczeństwa z zespołu Cisco Talos Incident Response (CTIR) wskazuje na ransomware jako główne cyberzagrożenie w drugim kwartale 2021 roku. Ten rodzaj ataków odpowiadał za niemal połowę wszystkich incydentów. Przypadki ransomware występowały trzy razy częściej niż kolejny typ zagrożeń ujęty w zestawieniu.

Do najczęściej spotykanych rodzin ransomware w statystykach Cisco zaliczamy:

  • REvil
  • Conti
  • WastedLocker
  • Darkside
  • Zeppeli
  • Ryuk
  • Mount Locker
  • Avaddon

Deszyfracja plików dzięki narzędziu od Bitdefender

Bitdefenderowi udało się opracować dekryptor dla ransomware REvil. Narzędzie zostało opracowane przy współpracy z organami ścigania. Nieoficjalnie mówi się o przejęciu serwera z kluczami szyfrującymi, bez których nie udałoby się opracować uniwersalnego oprogramowania do deszyfrowania danych.

Deszyfrator dla REvil (Sodinokibi) powinien działać na zaszyfrowanych plikach przed 13 lipca 2021 roku, czyli od dnia, kiedy infrastruktura hakera została wyłączona, pozostawiając ofiary z zaszyfrowanymi plikami samym sobie (bez możliwości zapłaty okupu, czego eksperci i tak odradzają).

Bitdefender publikuje niezbędne instrukcje polegające na pobraniu graficznego programu dla Windows oraz sposób postępowania krok po kroku.

Dekryptor dla ransomware REvil opracowany przez Bitdefender.

Według ekspertów REvil jest następcą ransomware GandCrab. Po udanym zaszyfrowaniu danych przestępcy żądali wysokich okupów sięgających nawet 70 milionów dolarów w zamian za klucz deszyfrujący i zapewnienie, że nie opublikują skradzionych danych, który wyciekły podczas ataku.

Ofiary ransomware Revil mogą za darmo pobrać narzędzie deszyfrujące i spróbować przywrócić dane do stanu używalności.

PODZIEL SIĘ:

Share on facebook
Share on twitter
Share on linkedin
Share on email
AUTOR: Adrian Ścibor
Redaktor prowadzący AVLab.pl
guest
0 komentarzy
Inline Feedbacks
View all comments

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA
BĄDŹ ZAWSZE NA BIEŻĄCO!
zapisz się

Bitdefender GravityZone Webinarium

Dowiedz się, co eksperci mówią o GravityZone

Porównanie rozwiązań ochronnych

DLA GOSPODARSTWA DOMOWEGO I MIKRO FIRMY

Dlaczego korzystamy z dHosting?

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA
BĄDŹ ZAWSZE NA BIEŻĄCO!
zapisz się

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA E-MAIL I ZAWSZE BĄDŹ NA BIEŻĄCO!
zapisz się

POLECANE PRODUKTY

YUBICO

Klucze zabezpieczające

SILNE UWIERZYTELNIANIE DWUSKŁADNIKOWE, WIELOSKŁADNIKOWE I BEZ HASŁA

RAPORT
Cyberbezpieczeństwo:
Trendy 2021

Już dostępny!

Dlaczego korzystamy
z dHosting?

YUBICO

Klucze zabezpieczające

SILNE UWIERZYTELNIANIE DWUSKŁADNIKOWE, WIELOSKŁADNIKOWE I BEZ HASŁA

Bitdefender GravityZone Webinarium

Dowiedz się, co eksperci mówią o GravityZone