Cyberthreat.id – Seorang peneliti keamanan siber berjuluk “Pancak3” di akun Twitter-nya menginformasikan bahwa seseorang telah mengunggah kunci pembuka enkripsi (decryptor) ransomware REvil.

Pancak3 mengunggah sebuah tangkapan layar dari forum peretasan berbahasa Rusia, XSS, yang menunjukkan akun “Ekranoplan”. Tangkapan layar itu juga mengarahkan decryptor ke situs web GitHub.

Flashpoint, perusahaan keamanan siber, pun mengidentifikasi keaslian dari decyrptor yang direkomendasikan oleh “Ekranoplan” tersebut.

Dalam uji cobanya, tulis Flashpoint di blog perusahaan, diakses Kamis (12 Agustus 2021), decryptor tersebut ternyata berfungsi untuk membuka sampel file ransomware REvil yang terjadi di Kaseya, perusahaan aplikasi manajemen TI, Kaseya.

Decryptor yang dibocorkan di forum XSS ternyata bersifat universal yang bisa membuka semua file yang terkunci.

Uji coba juga dilakukan oleh BleepingComputer dan hasilnya decryptor berfungsi untuk sampel ransomware yang digunakan untuk menargetkan Kaseya.

---

---

Tidak jelas mengapa decryptor universal Kaseya diunggah di forum peretasan—tempat yang sangat tidak mungkin bagi korban untuk berbagi decryptor. Namun, sumber BleepingComputer meyakini bahwa unggahan itu dilakukan oleh afiliasi dari geng ransomware REvil.

REvil (aka Sodinokibi atau Sodin) dikenal sebagai geng peretas asal Rusia yang belum lama ini menutup operasinya sejak serangan ke Kaseya pada 2 Juli lalu. Serangan ke Kaseya ini memanfaatkan kerentanan zero-day di aplikasi manajemen TI, Kaseya VSA.

Serangan tersebut mengenkripsi sekitar 60 penyedia layanan terkelola (MSP) yang memakai Kaseya VSA. Sekitar 1.500 bisnis terkena dampak serangan rantai pasokan (supply chain) tersebut. Peretas meminta uang tebusan US$50 juta jika korban ingin mendapatkan decryptor untuk membuka datanya yang terenkripsi/terkunci.

Jika korban ransomware membayar uang tebusan, mereka akan menerima decryptor yang berfungsi untuk satu ekstensi file terenkripsi atau decryptor universal yang berfungsi untuk semua ekstensi file terenkripsi.

Ketika REvil menutup diri sejak serangan itu, para korban serangan sempat kebingungan mendapatkan decryptor. Namun, pada 22 Juli, Kaseya memperoleh decrytptor universal untuk para korban ransomware dari pihak ketiga misterius.[]