De FBI heeft bijna drie weken gewacht met het delen van de decryptiesleutel van de REvil-ransomware die het via de servers van de ransomwaregroep had verkregen, zo laten anonieme bronnen tegenover The Washington Post weten. Begin juli wist De REvil-groep via kwetsbaarheden in de software van Kaseya een wereldwijde ransomware-aanval uit te voeren. Hierbij werden volgens Kaseya maximaal vijftienhonderd bedrijven wereldwijd getroffen.

De criminelen eisten vervolgens 70 miljoen dollar voor een generieke decryptiesleutel waarmee alle slachtoffers hun bestanden kunnen ontsleutelen. Eind juli maakte Kaseya bekend dat het van een niet nader genoemde derde partij een decryptiesleutel had ontvangen voor het ontsleutelen van de data bij alle slachtoffers. In samenwerking met antivirusbedrijf Emsisoft werden getroffen bedrijven vervolgens met het herstellen van hun bestanden geholpen.

Kaseya stelde dat het geen losgeld voor de decryptiesleutel had betaald. Bronnen verklaren tegenover The Washington Post dat de FBI toegang had tot servers van de REvil-groep en zo de decryptiesleutel kon bemachtigen. Er werd echter besloten om de sleutel niet meteen te delen met slachtoffers, aangezien de opsporingsdienst bezig was met een operatie om de ransomwaregroep te verstoren. Door het delen van de decryptiesleutel zou de groep worden gewaarschuwd. Daarnaast kostte het testen van de decryptiesleutel de nodige tijd, zo liet FBI-directeur Wray tijdens een hoorzitting voor een senaatscommissie weten.

De REvil-websites gingen op 13 juli zonder tussenkomst van de Amerikaanse autoriteiten offline en nog voordat de FBI de geplande operatie kon uitvoeren. Onlangs verschenen verschillende REvil-sites echter weer op internet. Afgelopen donderdag publiceerde antivirusbedrijf Bitdefender een gratis decryptietool voor slachtoffers van de REvil-ransomware van voor 13 juli. Bitdefender stelde dat het de tool samen met een opsporingsinstantie had ontwikkeld, maar noemde geen naam van de instantie.