Kaseya får fat i REvil dekrypteringsværktøj
Netværksservicefirmaet Kaseya har fået et dekrypteringsværktøj til systemer, der er krypteret af REvil ransomware efter forsyningskædeangrebet, der forårsagede ransomware-problemer for mange af Kaseyas kunder.
REvil-gruppeangrebet på Kaseya og downstream-klienter i virksomheden fandt sted i de første dage af juni 2021. Det oprindelige angreb udnyttede tre forskellige nul-dags sårbarheder, som alle siden er blevet patched. Kunder blev underrettet om angrebet gennem flere spillesteder, og Kaseya lukkede sine VSA-servere som en sikkerhedsforanstaltning for at begrænse den mulige yderligere spredning af REvil ransomware.
Angrebet var et eksempel på, hvad infosec kalder et "supply chain attack", hvor en tjenesteudbyder påvirkes, og gennem dem - yderligere klienter nedstrøms, der bruger udbyderens tjenester.
Der er ingen hårde oplysninger om, hvorvidt Kaseya har betalt nogen løsepenge. Hvad man ved er, at den oprindelige løsesumskrav blev stillet til $ 70 millioner, hvilket Threatpost rapporterer senere blev tonet ned til $ 50 millioner.
Hvad Kaseya bekræftede i en meddelelse den 22. juli, er, at virksomheden havde fået et dekrypteringsværktøj "fra en tredjepart", og flere hold arbejder aktivt med flere kunder, der blev fanget i ransomware-angrebet.
Værktøjet er allerede blevet bekræftet til at fungere og dekryptere ofrenes filer som forventet.
Sikkerhedsforskere, der overvåger de udfoldende begivenheder, mener, at der kan have været en løsesumbetaling, da udseendet af en universel dekrypteringsnøgle, der fungerer for alle ofrene for angrebet, er lidt usædvanligt. Der er imidlertid ingen beviser eller officiel bekræftelse af, at løsesummen virkelig betales, og forskere mener, at selv om det er tilfældet, var løsesumssummen sandsynligvis blevet forhandlet længere nede fra de ovennævnte 50 millioner dollars.
Andre sikkerhedsforskere sagde, at selv om dekryptorens betydning ikke skulle nedvurderes eller håndbølges som noget ubetydelig, er der stadig problemet med at genopbygge alle berørte systemer og netværk og spørgsmålet om potentielt exfiltreret information.
