ФБР держало в секрете ключ для расшифровки данных после атак REvil

Журналисты издания The Washington Post выяснили, как правоохранители достали ключ для расшифровки данных, которые пострадали в результате атак шифровальщика REvil.

Сначала нужно вспомнить предысторию происходящего: на прошлой неделе компания Bitdefender опубликовала  универсальную утилиту для дешифровки файлов, пострадавших в результате атак вымогателя REvil (Sodinokibi). Инструмент работает для любых данных, зашифрованных до 13 июля 2021 года.

Тогда эксперты сообщали, что этот инструмент был создан в сотрудничестве с «доверенными партнерами из правоохранительных органов», однако какие-либо детали в компании раскрыть отказались, ссылаясь на продолжающееся расследование. По словам людей, знакомых с этим вопросом, партнером было не ФБР.

13 июля упоминается выше не просто так, именно в этот день вся инфраструктура REvil ушла в офлайн без объяснения причин. Хакерская группа полностью «исчезла с радаров» на некоторое время, и в результате многие компании остались без возможности восстановить свои данные, даже если они были готовы заплатить хакерам выкуп.

Важно, что незадолго до этого, в начале июля 2021 года операторы REvil осуществили масштабную атаку на клиентов известного поставщика MSP-решений Kaseya.  В результате злоумышленники развернули шифровальщика в тысячах корпоративных сетей, а хакерами очень заинтересовались правоохранительные органы и власти.

Затем, когда группировка уже «исчезла», представители пострадавшей Kaseya неожиданно сообщили, что в их распоряжении появился универсальный ключ для расшифровки данных клиентов (позже он утек в сеть). Тогда в компании отказали сообщать, откуда взялся этот инструмент, ограничившись расплывчатым «от доверенной третьей стороны». Однако в компании заверяли, что он универсален и подойдет для всех пострадавших MSP и их клиентов. Причем прежде чем поделиться инструментом с клиентами,  Kaseya требовала от них подписать соглашение о неразглашении.

Как теперь сообщает издание The Washington Post, предположения многих ИБ-экспертов были верны: Kaseya действительно получила ключ от представителей ФБР. Правоохранители заявляют, что проникли на серверы хак-группы и извлекли оттуда ключ, который в итоге помог расшифровать данные и 1500 сетях, в том числе в больницах, школах и на предприятиях.

Однако ФБР поделилось ключом с пострадавшими и компанией далеко не сразу. Около трех недель ФБР держало ключ в тайне, собираясь провести операцию по ликвидации хак-группы и не желая раскрывать преступникам свои карты. Но правоохранители не успели: в итоге инфраструктура REvil ушла в офлайн до начала операции. Тогда Kaseya был передан ключ для дешифрования данных, и эксперты Emsisoft подготовили для пострадавших специальный инструмент.

«Мы принимаем такие решения коллективно, а не в одностороннем порядке, — заявил Конгрессу директор ФБР Кристофер Рэй. — Это сложные  решения, призванные оказать максимальное воздействие, и для борьбы с такими противниками требуется время, которое мы тратим на мобилизацию ресурсов не только по всей стране, но и по всему миру».

Журналисты отмечают, что из-за возникшей задержки для многих пострадавших уже было слишком поздно. К примеру, издание цитирует представителя компании  JustTech, которая является одним из клиентов MSP Kaseya. Компания потратила больше месяца на восстановление систем своих клиентов, так как восстановление из резервных копий или замена системы — это дорогостоящие и трудоемкие процессы:

 «Становилось все больше людей, которые плакали по телефону, спрашивая, как им продолжать работу. Один человек сказал: “Мне просто уйти на пенсию? Мне просто уволить всех своих сотрудников? ”».

Шведская сеть продуктовых магазинов Coop, так же пострадавшая от атаки, заявила, что до сих пор не знает, в какую сумму обойдется временное закрытие ее магазинов:

«Нам пришлось закрыть около 700 магазинов, и потребовалось шесть дней, чтобы все они снова открылись. Финансовые последствия случившегося зависят от нескольких факторов, включая потерю продаж, а также страхование, и то, в какой степени оно покроет произошедшее».

Источник 📢