이전 REvil 랜섬웨어 피해자가 사용 가능한 복호화 툴 공개돼

 

 

Bitdefender released free REvil ransomware decryptor that works for past victims

 

Bitdefender가 지난 7월 13일 REvil(Sodinokibi) 랜섬웨어 운영이 일시적으로 중단되기 전 감염된 피해자가 사용할 수 있는 마스터 복호화 툴을 무료로 공개했습니다.

 

7월 2일, REvil 운영자는 MSP와 고객에 영향을 미치는 Kaseya 클라우드 기반 MSP 플랫폼을 공격했습니다. REvil 랜섬웨어 운영자는 먼저 Kaseya VSA의 인프라를 해킹한 후 VSA 온-프레미스 서버에 악성 업데이트를 푸시하는 방식으로 엔터프라이즈 네트워크에 랜섬웨어를 배포했습니다. 이 그룹은 Kaseya 공급망 랜섬웨어 공격의 영향을 받은 모든 시스템을 복호화하는 조건으로 7천만 달러 상당의 비트코인을 요구했습니다.

 

이 공격은 언론과 경찰 당국의 관심을 끌어 해당 그룹에 압력을 가하기에 이르렀습니다. 지난 7월 13일부터 REvil 랜섬웨어 갱단이 사용하는 인프라와 웹사이트는 접근이 불가능한 상태가 되었습니다. Tor 유출 사이트, 지불 웹사이트인 "decoder[.]re", 백엔드 인프라가 모두 동시에 오프라인 상태가 되었습니다.

 

Bitdefender는 회사에 복호화 키를 제공한 법 집행 파트너의 도움으로 이 복호화 툴을 개발할 수 있었습니다.

 

Bitdefender는 아래와 같이 발표했습니다.

 

“Bitdefender는 REvil/Sodinokibi용 범용 복호화 툴을 발표했습니다. 신뢰할 수 있는 법 집행 파트너와 협력을 통해 개발한 이 툴은 REvil 랜섬웨어로 암호화된 피해자가 파일을 복구하고 2021년 7월 13일 이전에 실행된 공격에서 입은 피해를 복구할 수 있도록 도와줍니다. 해당 랜섬웨어 그룹의 서버와 지원 인프라가 두 달 동안 중단된 후 최근 다시 온라인 상태로 돌아와 새로운 REvil 공격이 임박한 것으로 추측됩니다.”

 

보안 회사는 현재 조사를 진행 중이기 때문에 자세한 정보를 추가적으로 공개하지는 않았으며, REvil의 공격이 임박했다고도 경고했습니다.

 

이 그룹에 피해를 입은 사용자는 Bitdefender에서 복호화 툴을 무료로 다운로드해 암호화된 파일을 복구할 수 있습니다. REvil 복호화 툴을 사용하는 방법에 대한 암호 해독 도구를 사용하는 방법에 대한 설명서 또한 공개되었습니다.

 

REvil 랜섬웨어 그룹은 2019년부터 활동했으며 Coop, JBS, Travelex를 포함한 여러 유명 조직을 노렸습니다.

 

지난 9월 7일, REvil 랜섬웨어 그룹의 서버가 폐쇄된 지 약 2개월 만에 다시 온라인 상태가 되었습니다. 해당 랜섬웨어 그룹의 다크웹 유출 사이트인 Happy Blog는 다시 온라인 상태가 되었지만, decoder[.]re 사이트는 현재까지도 오프라인상태입니다.

  

 

 

 

출처:

https://securityaffairs.co/wordpress/122274/cyber-crime/revil-ransomware-decryptor.html

https://www.bitdefender.com/blog/labs/bitdefender-offers-free-universal-decryptor-for-revil-sodinokibi-ransomware/

https://www.nomoreransom.org/uploads/REvil_documentation.pdf