KaseyaがREvil復号化ツールを手に入れる

ネットワークサービス会社のKaseyaは、Kaseyaのクライアントの多くにランサムウェアの問題を引き起こしたサプライチェーン攻撃の後で、REvilランサムウェアによって暗号化されたシステムの復号化ツールを入手しました。

Kaseyaとその下流のクライアントに対するREvilグループの攻撃は、2021年6月の最初の日に発生しました。最初の攻撃では、3つの異なるゼロデイ脆弱性が悪用され、その後すべてパッチが適用されました。顧客は複数の場所からの攻撃について通知を受け、Kaseyaは予防措置としてVSAサーバーをシャットダウンし、REvilランサムウェアのさらなる拡散の可能性を制限しました。

この攻撃は、infosecが「サプライチェーン攻撃」と呼んでいるもののインスタンスであり、1つのサービスプロバイダーが影響を受け、それらを介して、プロバイダーのサービスを使用する下流のクライアントがさらに影響を受けます。

笠谷が身代金を支払ったかどうかについての確かな情報はありません。知られていることは、当初の身代金要求は7000万ドルに達したということですが、Threatpostの報告によると、後に5000万ドルに引き下げられました。

Kaseyaが7月22日に発行した通知で確認したのは、同社が「サードパーティから」復号化ツールを入手しており、ランサムウェア攻撃に巻き込まれた複数の顧客と複数のチームが積極的に協力していることです。

このツールは、被害者のファイルが期待どおりに機能し、復号化されることがすでに確認されています。

展開中のイベントを監視しているセキュリティ研究者は、攻撃のすべての犠牲者に機能するユニバーサル復号化キーの出現は少し珍しいため、身代金の支払いが行われた可能性があると考えています。しかし、身代金が実際に支払われているという証拠や公式の確認はなく、研究者は、たとえそうだとしても、身代金の金額は上記の5,000万ドルからさらに下がって交渉された可能性が高いと考えています。

他のセキュリティ研究者は、復号化機能の重要性を軽視したり、重要でないものとして手で振ったりしてはならないが、影響を受けるすべてのシステムとネットワークを再構築するという問題と、潜在的に盗み出される情報の問題があると述べました。