REvil è un operatore ransomware-as-a-service (RaaS) probabilmente con sede in un paese del Commonwealth degli Stati Indipendenti (CIS). È emerso nel 2019 come successore dell’ormai defunto ransomware GandCrab. REvil/Sodinokibi è uno dei ransomware più prolifici del Dark Web: gli affiliati hanno preso di mira migliaia di aziende tecnologiche, MSP e rivenditori in tutto il mondo.
Dopo aver crittografato con successo i dati di un’azienda, gli affiliati di REvil chiedono ingenti riscatti – fino a $ 70 milioni – in cambio di una chiave di decrittazione e promettono la riservatezza dei dati rubati durante l’attacco. Il suo più grande colpo prima che scomparisse è stato l’attacco Kaseya. A partire dal 2 luglio, la banda REvil ha lanciato ciò che ammonterebbe a più di 5.000 attacchi in 22 paesi contro la piattaforma Kaseya Virtual System/Server Administrator (VSA).
Quando si tratta di chiavi di decrittazione, REvil, così come altri gruppi RaaS, utilizza una gerarchia di chiavi dove per ogni cliente attaccato viene generata una specifica chiave di decrittazione, inoltre esiste una “chiave dell’operatore” o una “chiave principale” utilizzata dalla massima leadership RaaS come UNKN, il rappresentante di REvil che era attivo prima della chiusura del gruppo il 13 luglio. La chiave principale può sbloccare qualsiasi vittima.
Decryptor Revil
Bitdefender ha annunciato la disponibilità di un decryptor universale per REvil/Sodinokibi. Creato in collaborazione con un partner fidato delle forze dell’ordine, questo strumento aiuta le vittime colpite dal ransomware REvil a ripristinare i propri file e a riprendersi dagli attacchi effettuati prima del 13 luglio 2021.
Di seguito il PDF alla guida per l’utilizzo del Decryptor (link ufficiale):