تم نشر أداة لاستعادة الملفات المشفرة في الهجمات على عملاء Kaseya في منتدى القراصنة.
تم نشر مفتاح رئيسي لفك تشفير الملفات المشفرة بواسطة برنامج الفدية REvil أثناء هجوم على عملاء Kaseya في منتدى للقراصنة ، مما أتاح للباحثين فرصة دراسة هذه الأداة الغامضة.
تذكر أنه في 2 يوليو من هذا العام ، هاجمت مجموعة REvil cyber ransomware مقدمي الخدمات المدارة في جميع أنحاء العالم من خلال ثغرة يوم الصفر في تطبيق التحكم عن بعد Kaseya VSA. بعد الهجوم ، طلب برنامج الفدية 70 مليون دولار لأداة عالمية من شأنها استعادة الملفات المشفرة لجميع عملاء Kaseya.
ومع ذلك ، لم تعد مجموعة REvil موجودة بشكل غامض ، وتم إيقاف محافظها وجميع البنية التحتية الخاصة بها. في 22 يوليو ، تلقت Kaseya فك تشفير عالمي من "طرف ثالث" غامض وبدأت في توزيعه على عملائها. من أجل التدريس ، يتعين على الشركات أن تكون أول من يوقع اتفاقية عدم إفشاء.
هناك رأي مفاده أن أداة فك التشفير تم أخذها من مجرمي الإنترنت من قبل الخدمات الخاصة الروسية وتم تسليمها إلى زملائهم الأمريكيين كبادرة حسن نية.
في 10 أغسطس ، أبلغ الباحث الأمني Pancak3 بوابة BleepingComputer أن شخصًا ما نشر لقطة شاشة على أحد منتديات المتسللين ، والتي يُزعم أنها تُظهر مفتاحًا عالميًا لاستعادة الملفات المشفرة بواسطة REvil. وظيفة مرتبطة إلى لقطة على جيثب تبين ريفل decryptor التوالي، عرض base64 في تجزئة كلمات مفتاح "master_sk. المفتاح يبدو كالتالي: "OgTD7co7NcYCoNj8NoYdPoR8nVFJBO5vs / kVkhelp2s =".
تمكن BleepingComputer من فك تشفير الجهاز الظاهري باستخدام عينات REvil ransomware المستخدمة في هجوم Kaseya. خبراء المعلومات اشتعال شركة أمنية أيضا وأكد أنه مع مساعدة من هذا المفتاح أنهم كانوا قادرين على فك تشفير الملفات المشفرة أثناء الهجوم على Kaseya.
اختبر الخبراء أداة فك التشفير على عينات REvil الأخرى التي تم جمعها على مدار العامين الماضيين. لم يكن برنامج فك التشفير يعمل ، مما يعني أنه ليس مفتاح فك التشفير الرئيسي لجميع ضحايا REvil.
سبب نشر الأداة في منتدى المتسللين ، والذي لا يستطيع ضحايا برنامج الفدية الوصول إليه ، غير معروف. كما قال العديد من المصادر في مجال الأمن السيبراني لـ BleepingComputer ، في رأيهم ، فإن المنشور مرتبط بمجموعة مجرمي الإنترنت REvil نفسها ، وليس بضحاياها.
0 تعليقات