Durante um acesso aos servidores usados pelo cibergangue russo, o FBI obteve a chave de desencriptação que podia ter sido usada por escolas e empresas para recuperar os seus dados, voltar a operar e poupar milhões de dólares. No entanto, as autoridades preferiram continuar a operação de vigilância ao gangue REvil e a divulgação da chave podia desencadear um alerta nos piratas. Assim, a chave permaneceu guardada em segredo durante três semanas. A operação de disrupção é que não chegou a acontecer, porque em meados de julho o grupo simplesmente apagou a sua presença online e desapareceu, sem qualquer intervenção das autoridades.
Um estudo governamental concluiu que os danos provocados pelo ransomware não eram tão graves quanto o inicialmente estimado, pelo que se tomou a decisão de manter a chave oculta durante mais algum tempo. Uma fonte anónima ouvida pelo The Washington Post, próxima deste tipo de operações, explica que “as perguntas que fazemos sempre são: qual o valor da chave se for revelada? Quantas vítimas existem? Quem pode ser ajudado? E no reverso da medalha, qual é o potencial de uma operação de longo prazo para interromper um ecossistema? Este é o equilíbrio que vamos ter de continuar a perseguir”.
A chave acabou por ser partilhada com a Kaseya a 21 de julho, 19 dias depois de o ataque ter sido perpetrado. Algumas das vítimas, no entanto, já tinham começado o processo de recuperação e restauro dos dados, pelo que não beneficiaram desta informação, nem do desencriptador que foi lançado no dia seguinte.
Christopher A. Wray, diretor do FBI, testemunhou perante o Congresso dos EUA para defender que a decisão de atrasar a divulgação surgiu em conjunto com aliados e outras agências: “Temos de tomar as decisões enquanto grupo, não unilateralmente. Estas são decisões complexas, desenhadas para criar o impacto máximo e que demoram tempo contra os adversários, onde temos de reunir recursos não só no país, como em todo o mundo”.
O REvil atacou, em junho, os sistemas da JBS, o maior fornecedor de carne dos EUA, interrompendo o abastecimento e operações temporariamente na Austrália, Canadá e EUA. Depois, em julho, atacou a Kaseya, impactando algumas cidades no Maryland, lojas na Suécia e escolas na Nova Zelândia com ransomware. Algumas das vítimas afetadas são fornecedores de serviços de TI para outros organismos, aumentando o alcance do ataque para 800 a 1500 organizações no total. Estas vítimas, sem a chave de desencriptação em seu poder, tiveram de substituir os sistemas ou avançar com o restauro de cópias de segurança, em processos onerosos e que demoraram tempo.
