REvil non ha bisogno di presentazioni: parliamo di un "top ransomware" divenuto popolarissimo dopo l'attacco contro Kaseya, uno dei più gravi attacchi di tipo "supply chain" avvenuti quest'anno. Prima di Kaseya aveva già colpito migliaia di utenti nel mondo, Italia compresa.
Dopo l'attacco a Kaseya col quale, in colpo solo, la cybergang del ransomware era riuscita a colpire oltre 60 MSP e più di 1500 aziende, il ransomware era improvvisamente e repentinamente scomparso: infrastruttura offline, irraggiungibile sito di leak e pagina di pagamento Tor, blocco totale della campagna di attacco.
Il 7 Settembre però REvil è tornato in grande spolvero: tornano attivi l'intera infrastruttura, il sito di leak che il gruppo di cyber attaccanti utilizza per pubblicare i dati rubati dalle vittime sotto ricatto, la pagina di pagamento / negoziazione Tor ecc... Tutte le vittime colpite in precedenza hanno visto ripartire da capo il timer e hanno ritrovato attive le loro richieste di riscatto. Il primo nuovo attacco, che certifica il ritorno in attività del ransomware, risale al 9 Settembre.
Ora arriva il duro colpo: è disponibile un master decryptor, grazie ad una fonte interna alla task force internazionale che da mesi sta cercando di abbattere l'infrastruttura del ransomware e individuarne i responsabili. Quindi, tutte le criptazioni avvenute in data precedente al 13 Luglio 2021 sono risolvibili.
I nostri tecnici sono già al lavoro per ricontattare coloro che già ci avevano chiesto assistenza: nuove vittime potranno richiedere il nostro supporto seguendo le procedure indicate sulla pagina web https://www.decryptolocker.it/
Dettagli utili al riconoscimento dell'infezione:
- estensione di criptazione aggiunta ai file criptati: 5-9 caratteri random;
- nota di riscatto:
[estensione di criptazione]-readme.txt;
[estensione di criptazione]-HOW-TO-DECRYPT.txt; - riferimenti delle pagine di pagamento: http://aplebzu47wgazapdqks6vrcv6zcnjppkbxbr6wketf56nf6aq2nmyoyd[.]onion/93FB0EB80E66B04B
- http://decryptor[.]top/93FB0EB80E66B04B
Una versione della nota di riscatto |
File criptati da REvil |
Nessun commento:
Posta un commento