2021-9-14
Depois de um hiato de atividade, o REvil voltou a publicar no fórum Exploit e explicou que o grande volume da chaves geradas criou um erro que enviou a chave universal aos clientes comprometidos no ataque que pagaram o resgate
Numa publicação no fórum ilícito de língua russa Exploit, o conhecido grupo cibercriminoso REvil revelou que a chave universal de desencriptação para todas as vítimas do ataque ransomware à Kaseya foi acidentalmente divulgada às vítimas por um codificador, avança a CRN. O REvil explicou que tinha de gerar entre 20 e 500 chaves de desencriptação para cada um dos cerca de 1.500 clientes comprometidos no ataque à Kaseya, uma vez que todas as vítimas tinham redes de diferentes tamanhos. Contudo, o grande volume de chaves levou a um erro em que as vítimas que pagaram o resgate descobriram que a chave tinha sido divulgada entre as chaves individuais do desencriptador relevante para a sua organização. "O nosso processo de encriptação permite-nos gerar uma chave universal de desencriptação ou chaves individuais para cada máquina", escreveu o REvil, explicando que “um dos nossos codificadores clicou erradamente e gerou uma chave universal de desencriptação juntamente com uma série de chaves para uma máquina”. Segundo a Flashpoint – que traduziu a publicação do REvil – citada pela CRN, “quando as vítimas descobriram que tinham a chave universal do desencriptador, enviaram-na à Kaseya e às autoridades. Segundo o REVil, os pagamentos totalizaram mais de “10kk” – dez milhões de dólares – mas não é claro se o post se refere aos pagamentos feitos pelas vítimas. "Ninguém foi enganado” e “não estamos a esconder nada”, afirmam. Um ator ameaça abriu um processo contra um porta-voz do REvil, alegando que lhe devia dinheiro e que quer ser compensado agora que o grupo está novamente operacional, depois de desaparecer em julho. Segundo o post feito mais tarde no fórum, o assunto terá sido resolvido, explica a Flashpoint. Um alegado representante do grupo disse que o REvil conseguiu voltar a estar online utilizando as suas cópias de segurança. |