El proveedor de software de seguridad cibernética BitDefender ha lanzado un descifrador universal para el ransomware REvil, que permite a las víctimas de ataques realizados antes del 13 de julio de 2021 restaurar sus archivos sin pagar a los ciberdelincuentes.
Desarrollada con la ayuda de un socio policial no revelado, la herramienta de descifrado se puede descargar del sitio web de BitDefender de forma gratuita, junto con un tutorial paso a paso sobre cómo usarla.
Junto con el socio no identificado, la firma con sede en Rumania está actualmente involucrada en una investigación en curso sobre REvil y no puede comentar sobre detalles específicos relacionados con el caso hasta que los líderes de la investigación lo autoricen.
Sin embargo, dijo que todos los interesados creían que era importante liberar el descifrador universal antes de que se completara la investigación para ayudar a la mayor cantidad de víctimas posible.
Bogdan Botezatu, director de investigación e informes de amenazas en BitDefender, dijo a Computer Weekly que no estaba claro cuántas víctimas podrían aprovechar la herramienta. “Es casi imposible estimar cuántas víctimas ha logrado infectar REvil”, dijo. “Esto se debe a que no todas las víctimas reportan infecciones o buscan apoyo”.
Los descifradores proporcionados por la banda REvil en el pasado se han ganado la reputación de ser lentos y poco confiables, lo que deja a muchas víctimas en una situación no mucho mejor, pero Botezatu dijo que debido a que la nueva herramienta se desarrolló desde cero, podría usarse con confianza.
“El descifrador es seguro de usar y sigue los estándares de la industria en el desarrollo de software”, explicó. “El descifrador se ha probado exhaustivamente y nuestros laboratorios ofrecen soporte de software para usuarios y empresas que puedan encontrar problemas durante el descifrado.
“Hasta ahora, nuestros descifradores han ahorrado a las organizaciones más de $ 100 millones en rescates, han ayudado a rescatar datos críticos y han mantenido a las organizaciones de todo el mundo abiertas a los negocios”, agregó.
REvil, que desapareció en circunstancias misteriosas en julio de 2021, posiblemente después de que su ciberataque de gran éxito en Kaseya provocó un calor no deseado por parte de las fuerzas del orden, reactivó gran parte de su infraestructura a principios de este mes.
Bogdan Botezatu, BitDefender
La semana pasada, los investigadores del especialista en inteligencia de riesgos Flashpoint informaron que REvil estaba en pleno funcionamiento una vez más, con un supuesto representante apareciendo en el foro de delitos cibernéticos Exploit. Según la charla de las redes sociales, el grupo ya está llevando a cabo nuevos ataques cibernéticos y publicando nuevas víctimas en su sitio de filtración de la web oscura, el llamado Happy Blog.
Según Flashpoint, los que están detrás de REvil también están tratando de enmendar las relaciones con sus compañeros: su repentina desaparición ha molestado a muchos afiliados que creen que los dejaron en la estacada.
En una publicación de Exploit, traducida del ruso por Flashpoint, el supuesto miembro del grupo reveló que un error humano por parte de un codificador había resultado en la liberación accidental de una clave de descifrado universal para las víctimas del ataque de Kaseya. “Así es como nos cagamos”, dijeron.
Agregaron: “Nadie fue estafado. Estamos en contacto con nuestros afiliados, no ocultamos nada ”.
BitDefender, por su parte, dijo que REvil probablemente todavía era muy peligroso e instó a las organizaciones a estar en alerta máxima para nuevos ataques y tomar precauciones contra ellos.
“Estamos monitoreando el resurgimiento del grupo REvil, pero no podemos brindar más contexto en este punto de la investigación. Trabajamos constantemente en nuevos descifradores y nos asociamos con agencias de aplicación de la ley para ofrecer a los usuarios acceso gratuito e incondicional a las herramientas de descifrado de ransomware ”, dijo Botezatu.
La guía del Centro Nacional de Seguridad Cibernética sobre cómo responder y mitigar el impacto de un ataque de ransomware se puede leer en su totalidad aquí.