Kaseya obtiene la herramienta de descifrado REvil
La empresa de servicios de red Kaseya ha obtenido una herramienta de descifrado para sistemas cifrados por el ransomware REvil después del ataque a la cadena de suministro que causó problemas de ransomware para muchos de los clientes de Kaseya.
El ataque del grupo REvil contra Kaseya y los clientes posteriores de la empresa tuvo lugar en los primeros días de junio de 2021. El ataque original explotó tres vulnerabilidades de día cero diferentes que han sido reparadas desde entonces. Los clientes fueron notificados sobre el ataque a través de múltiples lugares y Kaseya cerró sus servidores VSA como medida de precaución, para limitar la posible propagación del ransomware REvil.
El ataque fue una instancia de lo que infosec llama un "ataque a la cadena de suministro", en el que un proveedor de servicios se ve afectado y, a través de ellos, más clientes aguas abajo que utilizan los servicios del proveedor.
No hay información concreta sobre si Kaseya pagó o no algún rescate. Lo que se sabe es que la demanda de rescate original se realizó por una suma de $ 70 millones, que Threatpost informa que luego se redujo a $ 50 millones.
Lo que Kaseya confirmó en un aviso emitido el 22 de julio es que la compañía había obtenido una herramienta de descifrado "de un tercero" y varios equipos están trabajando activamente con varios clientes que quedaron atrapados en el ataque de ransomware.
Ya se ha confirmado que la herramienta funciona y descifra los archivos de las víctimas como se esperaba.
Los investigadores de seguridad que monitorean los eventos que se desarrollan creen que es posible que se haya efectuado un pago de rescate, ya que la aparición de una clave de descifrado universal que funciona para todas las víctimas del ataque es un poco inusual. Sin embargo, no hay evidencia o confirmación oficial de que realmente se pague el rescate y los investigadores creen que incluso si ese es el caso, la suma del rescate probablemente se haya negociado más abajo de los $ 50 millones mencionados anteriormente.
Otros investigadores de seguridad dijeron que, si bien la importancia del descifrador no debe minimizarse o pasarse por alto como algo insignificante, todavía existe el problema de reconstruir todos los sistemas y redes afectados y la cuestión de la información potencialmente exfiltrada.
