Kaseya ottiene lo strumento di decrittazione REvil
La società di servizi di rete Kaseya ha ottenuto uno strumento di decrittazione per i sistemi crittografati dal ransomware REvil dopo l'attacco alla catena di fornitura che ha causato problemi di ransomware a molti dei clienti di Kaseya.
L'attacco del gruppo REvil a Kaseya e ai clienti a valle dell'azienda è avvenuto nei primi giorni di giugno 2021. L'attacco originale ha sfruttato tre diverse vulnerabilità zero-day che da allora sono state tutte corrette. I clienti sono stati informati dell'attacco attraverso più sedi e Kaseya ha spento i suoi server VSA come misura precauzionale, per limitare la possibile ulteriore diffusione del ransomware REvil.
L'attacco è stato un esempio di quello che infosec chiama un "attacco alla catena di fornitura", in cui è interessato un fornitore di servizi e, attraverso di esso, altri clienti a valle che utilizzano i servizi del fornitore.
Non ci sono informazioni concrete sul fatto che Kaseya abbia pagato o meno un riscatto. Quello che si sa è che la richiesta di riscatto originale è stata fatta per un importo di $ 70 milioni, che secondo Threatpost è stata successivamente ridotta a $ 50 milioni.
Ciò che Kaseya ha confermato in un avviso emesso il 22 luglio è che la società ha ottenuto uno strumento di decrittazione "da una terza parte" e che più team stanno lavorando attivamente con più clienti che sono stati coinvolti nell'attacco ransomware.
Lo strumento è già stato confermato per funzionare e decrittografare i file delle vittime come previsto.
I ricercatori della sicurezza che monitorano gli eventi in corso ritengono che potrebbe essere stato effettuato un pagamento di riscatto, dal momento che la comparsa di una chiave di decrittazione universale che funziona per tutte le vittime dell'attacco è un po' insolita. Tuttavia, non ci sono prove o conferme ufficiali del reale pagamento del riscatto e i ricercatori ritengono che anche se così fosse, la somma del riscatto sarebbe stata probabilmente negoziata a un livello inferiore rispetto ai 50 milioni di dollari sopra menzionati.
Altri ricercatori sulla sicurezza hanno affermato che mentre l'importanza del decryptor non dovrebbe essere sottovalutata o sventolata come qualcosa di insignificante, c'è ancora il problema della ricostruzione di tutti i sistemi e le reti interessati e la questione delle informazioni potenzialmente esfiltrate.
