Universele decryptor voor slachtoffers 'REvil cybercriminelen' beschikbaar

Gepubliceerd op 17 september 2021 om 07:00

Cybersecuritybedrijf Bitdefender heeft een universele decoderingssleutel ontwikkeld voor iedereen die in het verleden slachtoffer is geworden van REvil. Deze decryptor werkt niet alleen voor de supply chain attack op Kaseya: bedrijven en organisaties die vóór 13 juli slachtoffer waren van de Russische hackersgroep, kunnen de sleutel gebruiken om hun bestanden te ontgrendelen. Ondanks dat de decryptor gratis en voor niets beschikbaar is, waarschuwen securityexperts om voorzichtig te zijn.

Ransomware Evil (REvil)

Dit ransomware-syndicaat wordt ook wel 'Sodin' of 'Sodinokibi' genoemd, maar de naam 'REvil' is geïnspireerd op de 'Resident Evil-film' en staat voor Ransomware Evil. REvil,  is een hackersgroep die vanuit Rusland buitenlandse bedrijven en mogendheden bestookt met ransomware. Ransomware is een andere benaming voor gijzelsoftware. Hackers gebruiken het programma om de toegang tot computersystemen te vergrendelen voor het eigen personeel. Tevens kunnen ze hiermee privacygevoelige en vertrouwelijke bedrijfs- en persoonsgegevens stelen, en belangrijke data achter slot en grendel plaatsen. Pas als het slachtoffer losgeld betaalt, krijgt hij de sleutel zodat hij weer bij zijn bestanden kan. Zo’n sleutel wordt ook een decryptor of decoderingssleutel genoemd.

REvil is sinds 2019 actief. De groep zou nauwe banden hebben met de Russische inlichtingendienst GRU. Veiligheidsambtenaren geven naar verluidt opdracht om specifieke doelwitten aan te vallen.

Door de jaren heen heeft REvil allerlei slachtoffers gemaakt, waaronder Travelex, Brown-Forman Corporation, Acer en Quanta Computer (Apple). Alleen dit jaar vielen vleesverwerker JBS, energiemaatschappij Invenergy en ICT-dienstverlener Kaseya ten prooi aan de Russische hackers.

Kaseya cyberaanval

De aanval op Kaseya zorgde wereldwijd voor een hoop ellende. REvil misbruikte een zero day exploit in de software Virtual System Administrator (VSA). Afnemers kunnen met dit programma computersystemen en servers van klanten op afstand beheren. Door deze kwetsbaarheid waren de hackers in staat om ongemerkt gijzelsoftware te installeren. Dat gebeurde bij zo’n 1.500 bedrijven en organisaties wereldwijd, waaronder enkele in Nederland.

Vlak na de aanval liet REvil van zich horen. Het hackerscollectief vroeg 70 miljoen dollar voor de decoderingssleutel. “Iedereen ka zich dan binnen een uur van de aanval herstellen”, zo beloofden de aanvallers. Het losgeld voor deze decryptor is nooit betaald. In plaats daarvan ontving Kaseya een universele decoderingssleutel van een onbekende partij. Daarmee kregen alle slachtoffers kosteloos de controle over hun systemen en bestanden terug.

REvil offline

Halverwege juli gebeurt er iets onverwachts: REvil lijkt van de aardbodem te zijn verdwenen. De websites op zowel het darkweb als het reguliere web gingen spontaan op zwart. De helpdesk was ook niet langer beschikbaar. En de hacker 'Unknown', die fungeert als de spreekbuis van de hackersgroep, was verbannen van hackersforum XSS.

Bedrijven die door REvil aangevallen waren zaten hierdoor ineens met een probleem. Ze konden niet langer inloggen op de sites van de hackers. Onderhandelen over of het betalen van losgeld was hierdoor onmogelijk. Voor deze slachtoffers is er nu een oplossing. Samen met ‘een betrouwbare wetshandhaver’ heeft cybersecuritybedrijf Bitdefender een universele decoderingssleutel ontwikkeld. Iedereen die vóór 13 juli is aangevallen door REvil, kan deze sleutel gebruiken om weer toegang te krijgen tot zijn data.

Waarom REvil uit het niets verdween, is nog altijd een mysterie. De verdwijningsact was echter van korte duur. Afgelopen week en deze week maakten leden van de groep nieuwe slachtoffers. Zodoende was het kristalhelder dat REvil terug van weggeweest is.

Aanval Slachtoffer Cybercriminelen Website Land
16-09-2021 Spiezle Architectural Group Inc. Sodinokibi (REvil) spiezle.com USA
13-09-2021 ohiograting.com Sodinokibi (REvil) ohiograting.com USA
> 62 dagen offline <
10-07-2021 ensingerplastics.com Sodinokibi (REvil) ensingerplastics.com USA

Universele decryptor

Bitdefender zegt dat het onderzoek naar de ransomware-aanvallen van REvil nog steeds loopt. Zodoende kan het cybersecuritybedrijf geen details geven of mededelingen doen over de kwestie. Om zoveel mogelijk slachtoffers zo snel mogelijk te helpen, besloot het bedrijf om de universele decryptor nu al vrij te geven. Op de website van Bitdefender kun je de universele decoderingssleutel gratis en voor niets downloaden.

Dat de sleutel voor iedereen beschikbaar is, is vanzelfsprekend goed nieuws. Toch waarschuwen medewerkers van Bitdefender ons om ook de komende tijd waakzaam te zijn. “We geloven dat er nieuwe REvil-aanvallen op komst zijn nadat de servers en ondersteunende infrastructuur van de ransomware-bende onlangs weer online kwamen na een onderbreking van twee maanden. We dringen er bij organisaties op aan om zeer alert te zijn en de nodige voorzorgsmaatregelen te nemen”, aldus het cybersecuritybedrijf.

R Evil Documentation
PDF – 720,2 KB 202 downloads

Bron: bitdefender.com, vpngids.nl

REvil gerelateerde artikelen 》

Meer info over ransomware 》

Bekijk alle vormen en begrippen 》

Actuele aanvallen overzicht per dag 》

Tips of verdachte activiteiten gezien? Meld het hier.

Ransomware gerelateerde berichten

Hakbit Ransomware

Hakbit Ransomware is een gevaarlijke ransomware infectie. Natuurlijk begrijpen de meeste gebruikers die besmet raken met dit programma niet hoe dat gebeurt, maar als we meer te weten zouden komen over de distributiepatronen van ransomware, zouden we kunnen voorkomen dat 'Hakbit Ransomware' onze systemen binnendringt.

Lees meer »

Documenten advocatenkantoren VS versleuteld door ransomware

Belangrijke documenten van zo'n 125 Amerikaanse advocatenkantoren zijn halverwege oktober door ransomware versleuteld, wat invloed op lopende rechtszaken had. De advocatenkantoren maken gebruik van de software van TrialWorks. Het softwarebedrijf levert oplossingen waarmee advocatenkantoren hun documenten en zaken kunnen beheren. Hierbij worden documenten op servers van TrialWorks opgeslagen.

Lees meer »

Ransomware – MKB

Gijzelsoftware, waarmee bestanden worden 'gekidnapt' totdat het slachtoffer betaalt, is een groeiend probleem voor Nederlandse bedrijven. Dat signaleren beveiligingsonderzoekers, verzekeraars en branche-organisatie MKB-Nederland. 

Lees meer »

Ransomware grootste cyberdreiging voor het MKB

Leverancier van IT-oplossingen 'Dato', publiceert de bevindingen van zijn vierde jaarlijkse 'Global State of the Channel Ransomware Report'. Het onderzoek is uitgevoerd onder meer dan 1.400 Managed Service Providers (MSP’s) die de IT-systemen beheren voor het midden- en kleinbedrijf (mkb). Uit het rapport kwam naar voren dat ransomware nog steeds de meest voorkomende cyberdreiging is voor het mkb.

Lees meer »