Titokzatos módon került elő a REvil zsarolóvírus ellenszere

Fellélegezhetnek azok a cégek, amelyek július elején a REvil zsarolóvírus áldozatává váltak.
 

Július elején egy kiterjedt támadássorozat vette kezdetét, amelyben a REvil (Sodinokibi) zsarolóvírus kapta a főszerepet. Az áldozatok között volt egyebek mellett a svédországi Coop, amelynek több száz üzletét kellett átmenetileg bezárnia.
 
A támadás ellátási lánc alapú károkozásnak minősült, amelynek során a Kaseya VSA végpontmenedzsment és hálózatmonitorozó szolgáltatás infrastruktúrája került középpontba. Amint az incidensre fény derült a vállalat azonnal leállította a szervereit, és értesítette az érintett ügyfeleit, MSP-partnereit. Sajnos ez már későn történt meg, hiszen ekkora már a REvil csoport széles körben terjesztette a zsarolóvírust. Becslések szerint legalább 1500 cég és szervezet esett áldozatául a kártékony programnak.
 
A REvil fertőzése után az érintett számítógépek zsaroló üzeneteket jelenítettek meg, melyek egyes helyeken 50 ezer dolláros, máshol akár 5 millió dolláros követelésekről szóltak. Aztán néhány nappal később a REvil csoport gondolt egyet, és jelezte, hogy ha valaki kifizet 70 millió dollárt (Bitcoinban), akkor elérhetővé teszi a kompromittált számítógépek helyreállításához szükséges kulcsokat és a dekódoló programokat.
 
Előkerült a dekódoló kulcs
 
A Kaseya a történtek után természetesen mindent elkövetett, hogy az ügyfeleinél és a partnereinél bekövetkezett károkat mérsékelje. Nyilván arra is törekedett, hogy megszerezze a helyreállító kulcsokat, amikkel dekódolhatóvá válhatnak a REvil által titkosított fájlok. A jó hír, hogy ez sikerült is számára. A vállalat ugyanis jelezte, hogy hozzájutott a dekódoló kulcshoz, amely univerzális segítséget nyújt a júliusi támadás áldozatai számára. A dekódoláshoz szükséges információkat már elkezdte megosztani a pórul járt ügyfeleivel, így azok visszakaphatják az adataikat.
 
A dekódolással kapcsolatos adatokat, eszközöket a Kaseya előzőleg teszteltette az Emsisoft biztonsági szakértőivel, akik megerősítették, hogy hatásos az "ellenszer", és az valóban alkalmas a tönkretett fájlok helyreállítására.
 
Mindent rejtély övez
 
Joggal merül fel a kérdés, hogy a Kaseya vajon miként jutott hozzá a dekódoláshoz szükséges információkhoz, eszközökhöz. Az első lehetőség, hogy kifizette a váltságdíjat, hogy ezzel mentse a menthetőt. Ezt azonban a cég sem megerősíteni, sem cáfolni nem akarta. Mindössze annyit közölt, hogy egy megbízható, harmadik féltől jutott hozzá a szükséges információkhoz.
 
Van azonban ennél egy rejtélyesebb lehetőség is arra, hogy milyen módon sikerült megoldani az ügyet. Egyes szakértők úgy vélekednek, hogy politikai és nemzetközi diplomáciai szálak lehetnek a háttérben. Amikor ugyanis a támadás júliusban bekövetkezett, akkor néhány órán belül Joe Biden amerikai elnök személyesen utasította az Egyesült Államok hírszerző szerveit, hogy tegyenek meg mindent a támadás körülményeinek felderítése érdekében. Ezt követően a Fehér Ház némi nyomást gyakorolt Oroszországra a REvil miatt. Nem sokkal később a REvil szinte teljesen eltűnt, még a fizetésre szolgáló weboldalai is leálltak. Aztán egyszer csak előkerült a dekódoló kulcs, amiből egyesek arra következtetnek, hogy az USA-féle nyomásgyakorlás hatásosnak bizonyulhatott. Ezek azonban egyelőre csak feltételezések, mivel még az FBI sem kívánta kommentálni a történteket.
 
A végfelhasználók, pórul járt cégek szempontjából azonban most az a legfontosabb, hogy az adathelyreállítás lehetővé vált.