REvil勒索软件解密密钥公开
近日,在Kaseya供应链攻击中被REvil勒索软件加密的文件的主密钥已公开。
据威胁情报公司Flashpoint透露,一名在线绰号“Ekranoplan”的人最近在黑客论坛上声称,他们获得了REvil勒索软件的解密密钥。他个人发布了一个GitHub链接,指向包含密钥的屏幕截图(下图)。
Ekranoplan用俄语写道,密钥是由他们的“母公司”提供的,它应该适用于所有REvil受害者。
Flashpoint已经对泄露的密钥进行了测试,并确认Kaseya攻击的受害者可以使用它来恢复由勒索软件加密的文件。该公司正试图确定其他REvil受害者是否也可以使用该密钥解密文件。
一些人在Twitter上证实,该密钥可用于解密由Kaseya攻击中使用的REvil变体加密的文件。然而,虽然该密钥可能对其他一些REvil受害者也有用,但一些研究人员表示,它似乎不是适用于所有版本的REvil勒索软件的通用解密器。
虽然解密密钥可能对某些受害者仍然有用,但受到Kaseya攻击的组织上个月应该已经收到了来自Kaseya的通用解密器。
这家IT管理软件制造商在7月初发现网络犯罪分子利用其一款产品中的漏洞向MSP及其客户提供勒索软件。据Kaseya称,该事件影响了800到1500个组织。
攻击者最初索要7000万美元换取可供所有Kaseya受害者使用的通用解密器,后来据报道该赎金降至5000万美元。然而,网络犯罪分子似乎并没有赚到太多钱,因为勒索软件在许多情况下未能在加密文件之前删除备份。此外,他们也没有像之前的攻击那样从受害者那里窃取信息。
攻击曝光大约三周后,Kaseya表示已获得通用解密器并开始将其分发给受影响的客户。该公司表示,它从受信任的第三方那里获得了解密器,并否认向网络犯罪分子支付了任何款项。
在Kaseya攻击后不久,REvil勒索软件背后的团伙就下线了,但一个名为BlackMatter的潜在继任者已经出现。
参考资料
https://www.flashpoint-intel.com/blog/possible-universal-revil-master-key-posted-to-xss/