Jornalistas de O Washington Post descobriu como o FBI obteve a chave para descriptografar os dados, que foi afetado nos ataques do ransomware REvil.
Primeiro, convém recordar que o pano de fundo do que está a acontecer: semana passada Bitdefender publicou um utilitário universal para descriptografar arquivos afetados pelos ataques do ransomware REvil (Sodinokibi). A ferramenta funciona para quaisquer dados criptografados antes de julho 13, 2021.
No momento, especialistas relataram que a ferramenta foi criada em colaboração com “parceiros confiáveis de aplicação da lei,”mas a empresa se recusou a divulgar quaisquer detalhes, citando uma investigação em andamento. Segundo pessoas familiarizadas com o assunto, o parceiro não era o FBI.
Julho 13 é mencionado acima por um motivo, como neste dia toda a infraestrutura do REvil ficou off-line sem explicação. O grupo de hackers completamente “desapareceu do radar” por um tempo, e como resultado, muitas empresas ficaram sem a capacidade de recuperar seus dados, mesmo que estivessem dispostos a pagar um resgate aos hackers.
É importante que não muito antes disso, no início de julho 2021, Operadores REvil realizados um ataque em grande escala sobre os clientes do conhecido provedor de soluções MSP Kaseya. Como resultado, os cibercriminosos implantaram o ransomware em milhares de redes corporativas, e as agências e autoridades policiais ficaram muito interessadas em hackers.
Então, quando o grupo já tinha “desaparecido”, representantes do ferido Kaseya anunciado inesperadamente que eles tinham uma chave universal para descriptografar os dados do cliente. Então a empresa se recusou a divulgar de onde veio essa ferramenta, limitando-se a uma vaga “de um terceiro confiável.”
No entanto, a empresa garantiu que é universal e adequado para todos os MSPs afetados e seus clientes. Além disso, antes de compartilhar a ferramenta com os clientes, Kaseya exigiu que eles assinassem um acordo de confidencialidade.
Como o Washington Post agora relata, as suposições de muitos especialistas em segurança cibernética estavam corretas: Kaseya realmente recebeu a chave dos representantes do FBI. Policiais dizem que se infiltraram nos servidores do grupo de hackers e extraíram uma chave de lá, que finalmente ajudou a descriptografar dados e 1,500 redes, inclusive em hospitais, escolas e empresas.
No entanto, o FBI não compartilhou imediatamente a chave com as vítimas e a empresa. Por cerca de três semanas, o FBI manteve a chave em segredo, pretendendo realizar uma operação para eliminar o grupo hacker e não querendo revelar suas cartas aos criminosos. Mas os policiais não tiveram tempo: como resultado, a infraestrutura REvil ficou offline antes do início da operação. Então Kaseya recebeu a chave para descriptografar os dados, e especialistas da Emsisoft prepararam uma ferramenta especial para as vítimas.
Os jornalistas observam que devido ao atraso resultante, já era tarde demais para muitas das vítimas. Por exemplo, a publicação cita um representante da JustTech, que é um dos clientes do MSP Kaseya.
A empresa passou mais de um mês restaurando os sistemas de seus clientes, já que restaurar backups ou substituir o sistema é um processo caro e demorado:
Rede sueca de supermercados Coop, também afetado pelo ataque, disse que ainda não sabe quanto custaria fechar temporariamente suas lojas:
