Журналисты издания The Washington Post выяснили, как правоохранители достали ключ для расшифровки данных, которые пострадали в результате атак шифровальщика REvil.
Сначала нужно вспомнить предысторию происходящего: на прошлой неделе компания Bitdefender опубликовала универсальную утилиту для дешифровки файлов, пострадавших в результате атак вымогателя REvil (Sodinokibi). Инструмент работает для любых данных, зашифрованных до 13 июля 2021 года.
Тогда эксперты сообщали, что этот инструмент был создан в сотрудничестве с «доверенными партнерами из правоохранительных органов», однако какие-либо детали в компании раскрыть отказались, ссылаясь на продолжающееся расследование. По словам людей, знакомых с этим вопросом, партнером было не ФБР.
13 июля упоминается выше не просто так, именно в этот день вся инфраструктура REvil ушла в офлайн без объяснения причин. Хакерская группа полностью «исчезла с радаров» на некоторое время, и в результате многие компании остались без возможности восстановить свои данные, даже если они были готовы заплатить хакерам выкуп.
Важно, что незадолго до этого, в начале июля 2021 года операторы REvil осуществили масштабную атаку на клиентов известного поставщика MSP-решений Kaseya. В результате злоумышленники развернули шифровальщика в тысячах корпоративных сетей, а хакерами очень заинтересовались правоохранительные органы и власти.
Затем, когда группировка уже «исчезла», представители пострадавшей Kaseya неожиданно сообщили, что в их распоряжении появился универсальный ключ для расшифровки данных клиентов (позже он утек в сеть). Тогда в компании отказали сообщать, откуда взялся этот инструмент, ограничившись расплывчатым «от доверенной третьей стороны». Однако в компании заверяли, что он универсален и подойдет для всех пострадавших MSP и их клиентов. Причем прежде чем поделиться инструментом с клиентами, Kaseya требовала от них подписать соглашение о неразглашении.
Как теперь сообщает издание The Washington Post, предположения многих ИБ-экспертов были верны: Kaseya действительно получила ключ от представителей ФБР. Правоохранители заявляют, что проникли на серверы хак-группы и извлекли оттуда ключ, который в итоге помог расшифровать данные и 1500 сетях, в том числе в больницах, школах и на предприятиях.
Однако ФБР поделилось ключом с пострадавшими и компанией далеко не сразу. Около трех недель ФБР держало ключ в тайне, собираясь провести операцию по ликвидации хак-группы и не желая раскрывать преступникам свои карты. Но правоохранители не успели: в итоге инфраструктура REvil ушла в офлайн до начала операции. Тогда Kaseya был передан ключ для дешифрования данных, и эксперты Emsisoft подготовили для пострадавших специальный инструмент.
«Мы принимаем такие решения коллективно, а не в одностороннем порядке, — заявил Конгрессу директор ФБР Кристофер Рэй. — Это сложные решения, призванные оказать максимальное воздействие, и для борьбы с такими противниками требуется время, которое мы тратим на мобилизацию ресурсов не только по всей стране, но и по всему миру».
Журналисты отмечают, что из-за возникшей задержки для многих пострадавших уже было слишком поздно. К примеру, издание цитирует представителя компании JustTech, которая является одним из клиентов MSP Kaseya. Компания потратила больше месяца на восстановление систем своих клиентов, так как восстановление из резервных копий или замена системы — это дорогостоящие и трудоемкие процессы:
«Становилось все больше людей, которые плакали по телефону, спрашивая, как им продолжать работу. Один человек сказал: “Мне просто уйти на пенсию? Мне просто уволить всех своих сотрудников? ”».
Шведская сеть продуктовых магазинов Coop, так же пострадавшая от атаки, заявила, что до сих пор не знает, в какую сумму обойдется временное закрытие ее магазинов:
«Нам пришлось закрыть около 700 магазинов, и потребовалось шесть дней, чтобы все они снова открылись. Финансовые последствия случившегося зависят от нескольких факторов, включая потерю продаж, а также страхование, и то, в какой степени оно покроет произошедшее».
