La compañía Kaseya confirmó este jueves que obtuvo un descifrador universal para el ransomware REvil —también conocido como Sodinokibi— y que comenzó a distribuirlo con los clientes afectados. Recordemos que el pasado 2 de julio un ataque masivo del ransomware REvil logró comprometer una gran cantidad de empresas a lo largo del mundo tras explotar una vulnerabilidad zero-day en el software de gestión de TI, Kaseya VSA, utilizado principalmente por proveedores de servicios administrados (MSP, por sus siglas en inglés).
Lectura recomendada: Ransomware: qué es y cómo funciona
Un vocero de Kaseya confirmó a BleepingComputer que recibieron la herramienta y que funciona correctamente. Asimismo, la compañía dijo que obtuvo el descifrador de un tercero de confianza, pero que no puede compartir más información sobre la fuente. Por otra parte, el descifrador universal funcionaría para todas las víctimas, lo que permitiría recuperar los archivos del cifrado a unos de 60 MPS afectados y cerca de 1500 empresas clientes.
Si bien los pocos detalles acerca de cómo se obtuvo la herramienta dejan abierta la puerta para las especulaciones, vale la pena recordar lo que pasó a principios de 2021 cuando se compartió públicamente un descifrador para el Ransomware Avaddon y esto permitió que la banda criminal rápidamente corrigiera el código dejando sin efecto la herramienta.
Volviendo al incidente que afectó a Kaseya, pocos días después del ataque el grupo REvil publicó en su sitio que a cambio de 70 millones de dólares compartiría un descifrador para recuperar los archivos del cifrado y que podrían utilizar todas las víctimas de este ataque. Sin embargo, a los pocos días y de manera sorpresiva, la infraestructura de este ransomware se cerró y tampoco hubo actividad del grupo en los foros de la dark web. Sin embargo, muchas agencias de seguridad internacionales han confirmado que no estuvieron involucrados en esta repentina desaparición de REvil.
Vale la pena recordar también que tras el ataque a Colonial Pipeline por parte del ransomware DarkSide y del ataque a la empaquetadora de carne JBS a manos de REvil, el gobierno de Estados Unidos ordenó darle una mayor prioridad a los ataques de ransomware y tomó medidas para intentar contrarrestar esta ola de ataques que afectan a compañías y organismos de Estados Unidos y del resto del mundo. Asimismo, el presidente Joe Biden se reunió este mes con su par ruso, Vladimir Putin, y solicitó su colaboración para combatir a estos grupos de cibercriminales independientes ya que se cree que algunos operan desde suelo ruso.