A empresa Kaseya confirmou na última quinta-feira (22) que obteve uma ferramenta de descriptografia universal para o ransomware REvil - também conhecido como Sodinokibi - e que começou a distribuí-la aos clientes afetados. É importante lembrar que no último dia 02 de julho, um ataque massivo do ransomware REvil conseguiu comprometer muitas empresas em todo o mundo após explorar uma vulnerabilidade zero-day no software de gerenciamento de TI Kaseya VSA, usado principalmente por provedores de serviços gerenciados (MSP).
Um porta-voz da Kaseya confirmou ao site BleepingComputer que recebeu a ferramenta e que ela funciona corretamente. A empresa também disse que obteve a ferramenta de descriptografia de um terceiro confiável, mas que não pode compartilhar mais informações sobre a fonte. A ferramenta de descriptografia universal funciona para todas as vítimas, permitindo que cerca de 60 MPS afetados e cerca de 1.500 empresas clientes recuperem os arquivos criptografados.
Embora os poucos detalhes obtidos sobre a ferramenta deixem a porta aberta para especulações, vale a pena lembrar o que aconteceu no início de 2021, quando uma ferramenta de descriptografia para o ransomware Avaddon foi compartilhada publicamente e permitiu que o grupo cibercriminoso corrigisse rapidamente o código, tornando a ferramenta totalmente ineficaz.
Voltando ao incidente que afetou a Kaseya, poucos dias após o ataque, o grupo REvil publicou em seu site que em troca de 70 milhões de dólares compartilharia uma ferramenta de descriptografia para recuperar os arquivos criptografados e que todas as vítimas deste ataque poderiam usar a ferramenta. Porém, após alguns dias e de forma surpreendente, a infraestrutura desse ransomware foi fechada e não houve atividade do grupo nos fóruns da dark web. No entanto, muitas agências de segurança internacionais confirmaram que não estavam envolvidas neste súbito desaparecimento de REvil.
Também é importante lembrar que após o ataque ao Pipeline Colonial realizado pelo ransomware DarkSide e o ataque à empresa frigorífica JBS pelo REvil, o governo dos Estados Unidos ordenou que os ataques de ransomware recebessem uma prioridade mais alta e agiu para tentar neutralizar essa onda de ataques que afetam empresas e organizações nos Estados Unidos e no resto do mundo. Além disso, o presidente Joe Biden se reuniu este mês com o presidente da Rússia, Vladimir Putin, e solicitou sua colaboração para combater esses grupos de cibercriminosos independentes, já que alguns operam em solo russo.