Kaseya gauna „REvil“ iššifravimo įrankį

Tinklo paslaugų įmonė „Kaseya“ įsigijo „REvil“ išpirkos programos užšifruotų įrankių iššifravimo įrankį po tiekimo grandinės atakos, kuri daugeliui „Kaseya“ klientų sukėlė ransomware problemų.

„REvil“ grupės ataka prieš „Kaseya“ ir tolesnius įmonės klientus įvyko pirmosiomis 2021 m. Birželio dienomis. Pirminėje atakoje buvo panaudoti trys skirtingi nulinės dienos pažeidžiamumai, kurie visi buvo užtaisyti. Klientai apie ataką buvo informuoti per kelias vietas, o „Kaseya“ kaip atsargumo priemonė uždarė savo VSA serverius, siekdama apriboti galimą tolesnę „REvil“ išpirkos programinės įrangos platinimą.

Ataka buvo pavyzdys, kai „infosec“ vadinama „tiekimo grandinės ataka“, kai tai paveikė vieną paslaugų teikėją ir per juos - tolesnius klientus, kurie naudojasi tiekėjo paslaugomis.

Nėra tvirtos informacijos, ar Kaseya sumokėjo išpirką, ar ne. Žinoma, kad pradinė išpirkos pareikalauta suma siekė 70 mln. JAV dolerių, o vėliau „Threatpost“ praneša, kad sumažinama iki 50 mln.

Tai, ką Kaseya patvirtino liepos 22 d. Paskelbtame pranešime, yra tai, kad įmonė gavo iššifravimo įrankį „iš trečiosios šalies“, o kelios komandos aktyviai dirba su keliais klientais, kurie pakliuvo į ransomware ataką.

Jau patvirtinta, kad įrankis veikia ir iššifruoja aukų bylas, kaip tikėtasi.

Saugumo tyrėjai, stebintys besivystančius įvykius, mano, kad galėjo būti sumokėta išpirkos suma, nes visuotinio iššifravimo rakto, kuris tinka visiems išpuolio aukoms, pasirodymas yra šiek tiek neįprastas. Tačiau nėra įrodymų ar oficialaus patvirtinimo, kad išpirkos iš tikrųjų buvo mokamos, ir tyrėjai mano, kad net jei taip ir yra, dėl išpirkos sumos greičiausiai buvo susitarta toliau, palyginti su pirmiau minėtais 50 mln.

Kiti saugumo tyrėjai teigė, kad, nors iššifruotojo svarbos nereikėtų sumenkinti ar pareikšti apie tai, kad tai yra nereikšminga, vis tiek iškyla visų paveiktų sistemų ir tinklų atstatymo problema ir potencialiai išfiltruotos informacijos klausimas.