Los analistas de Flashpoint han encontraron una publicación en ruso en XSS Forum en la que un actor de amenazas que opera bajo el alias de «Ekranoplan» publicó una posible clave maestra para REvil en una captura de pantalla en Github: OgTD7co7NcYCoNj8NoYdPoR8nVFJBO5vs/kVkhelp2s=
Actualización: se ha confirmado que la clave solo sirve para el caso de los afectados de Kaseya.
REvil (también conocido como «Sodinokibi» o «Sodin») es un grupo de amenazas de ransomware ruso que es responsable de varios incidentes de alta visibilidad en los últimos meses, incluido el ataque contra el proveedor de tecnología Kaseya, entre otros.
Si bien REvil supuestamente cerró sus operaciones en julio de 2021, muchos de sus objetivos siguen afectados por sus actividades, y recientemente han surgido otros grupos relacionados con REvil.
Ekranoplan compartió un enlace a la captura de pantalla el 6 de agosto de 2021 y el usuario no parece tener más historial de publicaciones en el foro. Varios usuarios cuestionaron la utilidad de una captura de pantalla para descifrar archivos, a lo que Ekranoplan respondió en ruso: «Esto nos lo proporcionó nuestra empresa matriz y se supone que funciona para todas las víctimas de REvil, no solo para nosotros».
Si bien se desconocen los orígenes de Ekranoplan, los analistas de Flashpoint probaron el descifrador REvil y parchearon el binario del descifrador con la nueva clave y lograron descifrar con éxito archivos en una sandbox infectado con una muestra reciente de REvil.
El misterio permanece y aún no se sabe la verdadera razón de la repentina desaparición de REvil. Si su infraestructura fue el objetivo de una operación policial coordinada, la clave de descifrado fue filtrada por una ex-víctima, o un cambio de opinión de los operadores de REvil.