Bitdefender lance un décrypteur gratuit de ransomware REvil

Le fournisseur de logiciels de cybersécurité Bitdefender a publié un décrypteur universel pour le ransomware REvil, permettant aux victimes d’attaques effectuées avant le 13 juillet 2021 de restaurer leurs fichiers sans payer les cybercriminels.

Développé avec l’aide d’un partenaire d’application de la loi non divulgué, l’outil de décryptage peut être téléchargé gratuitement sur le site Web de Bitdefender, ainsi qu’un tutoriel étape par étape sur la façon de l’utiliser.

Aux côtés de l’associé anonyme, la société basée en Roumanie est actuellement engagée dans une enquête en cours sur REvil et n’est pas en mesure de commenter les détails spécifiques relatifs à l’affaire tant que les dirigeants de l’enquête ne l’ont pas autorisé.

Cependant, il a déclaré que toutes les personnes concernées pensaient qu’il était important de libérer le décrypteur universel avant la fin de l’enquête pour aider autant de victimes que possible.

Bogdan Botezatu, directeur de la recherche et des rapports sur les menaces chez Bitdefender, a déclaré à Computer Weekly qu’il n’était pas clair combien de victimes pourraient être en mesure de tirer parti de l’outil. « Il est presque impossible d’estimer combien de victimes REvil a réussi à infecter », a-t-il déclaré. « C’est parce que toutes les victimes ne signalent pas les infections ou ne demandent pas de l’aide. »

Les décrypteurs fournis par le gang REvil dans le passé ont acquis la réputation d’être lents et peu fiables, laissant de nombreuses victimes dans une vie pas beaucoup mieux loties, mais Botezatu a déclaré que parce que le nouvel outil avait été développé à partir de zéro, il pouvait être utilisé en toute confiance.

« Le décrypteur est sûr à utiliser et suit les normes de l’industrie en matière de développement de logiciels », a-t-il expliqué. « Le décrypteur a été soigneusement testé et nos laboratoires offrent un support logiciel aux utilisateurs et aux entreprises qui peuvent rencontrer des problèmes lors du décryptage.

« Jusqu’à présent, nos décrypteurs ont permis aux organisations d’économiser plus de 100 millions de dollars en rançons, d’aider à sauver des données critiques et de garder les organisations du monde entier ouvertes aux affaires », a-t-il ajouté.

REvil, qui a disparu dans des circonstances mystérieuses en juillet 2021, peut-être après que sa cyberattaque à succès contre Kaseya ait provoqué une chaleur indésirable de la part des forces de l’ordre, a réactivé une grande partie de son infrastructure plus tôt ce mois-ci.

« Le décrypteur est sûr à utiliser et suit les normes de l’industrie en matière de développement de logiciels. Il a été soigneusement testé et nos laboratoires offrent un support logiciel pour les utilisateurs et les entreprises qui peuvent rencontrer des problèmes lors du décryptage.

La semaine dernière, des chercheurs du spécialiste du renseignement sur les risques Flashpoint ont rapporté que REvil était à nouveau pleinement opérationnel, avec un représentant supposé apparaissant sur le forum de cybercriminalité Exploit. Selon les discussions sur les médias sociaux, le groupe mène déjà de nouvelles cyberattaques et publie de nouvelles victimes sur son site de fuite sur le dark web, le soi-disant Happy Blog.

Selon Flashpoint, ceux qui sont derrière REvil tentent également actuellement de réparer les barrières avec leurs pairs – leur disparition soudaine ayant bouleversé de nombreux affiliés qui croient avoir été laissés dans l’embarras.

Dans un article d’Exploit – traduit du russe par Flashpoint – le membre supposé du groupe a révélé qu’une erreur humaine de la part d’un codeur avait entraîné la libération accidentelle d’une clé de décryptage universelle pour les victimes de l’attaque de Kaseya. « C’est comme ça qu’on se fait soi-même », ont-ils dit.

Ils ont ajouté: « Personne n’a été arnaqué. Nous sommes en contact avec nos affiliés, nous ne cachons rien. »

Bitdefender, pour sa part, a déclaré que REvil était probablement encore très dangereux et a exhorté les organisations à être en état d’alerte en cas de nouvelles attaques et à prendre des précautions contre elles.

« Nous surveillons la réémergence du groupe REvil, mais nous ne sommes pas en mesure de fournir plus de contexte à ce stade de l’enquête. Nous travaillons constamment sur de nouveaux décrypteurs et nous nous associons aux organismes d’application de la loi pour offrir aux utilisateurs un accès inconditionnel et gratuit aux outils de décryptage des ransomwares », a déclaré Botezatu.

Les conseils du Centre national de cybersécurité sur la réponse et l’atténuation de l’impact d’une attaque de ransomware peuvent être lus dans leur intégralité ici.