giovedì, Dicembre 26, 2024

Bitdefender offre un decryptor gratuito per le vittime del ransomware REvil

Le organizzazioni che sono state compromesse dal ransomware REvil possono ora scaricare ed eseguire uno strumento gratuito per decrittografare i file dirottati. In un post sul blog pubblicato giovedì , la società di sicurezza Bitdefender ha annunciato la disponibilità di un decryptor universale per gli attacchi ransomware REvil/Sodinokibi.

Rivelando di aver creato lo strumento in collaborazione con un’entità fidata delle forze dell’ordine, Bitdefender ha affermato che il decryptor è progettato per aiutare le vittime di questo marchio di ransomware a recuperare qualsiasi file crittografato da attacchi verificatisi prima del 13 luglio 2021.

Le organizzazioni interessate possono scaricare il decryptor direttamente da un link alla fine del post del blog di Bitdefender. Un collegamento per un tutorial passo passo su come utilizzare lo strumento di decrittazione è accessibile dallo stesso post.

Dopo l’installazione, lo strumento esegue la scansione di un intero computer o di una cartella specifica alla ricerca di file crittografati. Quindi decodifica tutti i file di questo tipo che trova. È possibile installare ed eseguire lo strumento su un singolo computer. In alternativa, puoi eseguirlo silenziosamente attraverso la tua rete o su una macchina remota tramite un processo da riga di comando.

Bitdefender non ha rivelato molto sul suo coinvolgimento con lo strumento, osservando che questa questione riguarda un’indagine in corso e che non può rivelare alcun dettaglio fino a quando non è autorizzato dal partner delle forze dell’ordine investigativo principale. Ma ha affermato che entrambe le parti hanno ritenuto importante rilasciare il decryptor prima che l’indagine fosse finita per aiutare il maggior numero possibile di vittime.

Dopo aver lanciato una serie di feroci attacchi ransomware dal 2019, i criminali dietro il ransomware REvil/Sodinokibi hanno messo in scena uno dei loro più infami tentativi. Il 3 luglio, l’azienda IT aziendale Kaseya ha rivelato un attacco informatico di successo contro il suo prodotto VSA , un programma utilizzato dai fornitori di servizi gestiti (MSP) per monitorare e amministrare in remoto i servizi IT per i clienti. Data la natura della catena di approvvigionamento dell’attività di Kaseya, più di 1.000 aziende in tutto il mondo hanno visto i propri dati crittografati a causa dell’attacco.

Prendendosi con orgoglio il merito del crimine, REvil ha affermato nel suo “Happy Blog” che più di 1 milione di sistemi erano stati infettati. La banda ha anche ideato un’offerta interessante che avrebbe un impatto su tutte le vittime del suo ransomware. In cambio di $ 70 milioni di bitcoin, REvil fornirebbe un decryptor universale attraverso il quale tutte le aziende interessate potrebbero recuperare i propri file.

Poche settimane dopo, Kaseya ha annunciato di aver acquisito una chiave di decrittazione universale per le recenti vittime di REvil. La società non ha rivelato alcun dettaglio su come o dove è stato ottenuto il decryptor, se non per dire che proveniva da una terza parte fidata.

Ma in un’altra svolta a questa saga, circa una settimana prima che Kaseya presentasse il decryptor universale, REvil è uscito dalla rete. L’Happy Blog del gruppo è andato offline così come il sito di pagamento e negoziazione. La scomparsa di quest’ultimo ha effettivamente messo in difficoltà le vittime poiché non avevano più un modo chiaro per affrontare la banda o pagare il riscatto se avessero scelto di farlo.

“Il 13 luglio di quest’anno, parti dell’infrastruttura di REvil sono andate offline, lasciando le vittime infette che non avevano pagato il riscatto incapaci di recuperare i loro dati crittografati”, ha affermato Bitdefender nel suo post. “Questo strumento di decrittazione ora offrirà alle vittime la possibilità di riprendere il controllo dei propri dati e risorse”.

Ma la storia è tutt’altro che finita. La scorsa settimana, REvil sembrava tornare in vita dopo una pausa di due mesi. Sia l’Happy Blog che il sito di pagamento e negoziazione sono apparsi nuovamente online. Non è noto se questo significhi o meno che il gruppo è tornato in attività. Ma i ragazzi di Bitdefender consigliano alle persone di non abbassare la guardia.

“Riteniamo che i nuovi attacchi REvil siano imminenti dopo che i server e l’infrastruttura di supporto della banda del ransomware sono recentemente tornati online dopo una pausa di due mesi”, ha affermato Bitdefender. “Esortiamo le organizzazioni a stare in massima allerta e a prendere le precauzioni necessarie”.

ARTICOLI COLLEGATI:

ULTIMI ARTICOLI: