Kaseya får tak i REvil dekrypteringsverktøy

Nettverkstjenesteselskapet Kaseya har fått et dekrypteringsverktøy for systemer kryptert av REvil ransomware etter forsyningskjedeangrepet som forårsaket ransomware-problemer for mange av Kaseyas klienter.

REvil-gruppeangrepet på Kaseya og nedstrøms klienter i firmaet fant sted de første dagene i juni 2021. Det opprinnelige angrepet utnyttet tre forskjellige null-dagers sårbarheter som siden har blitt lappet. Kunder ble varslet om angrepet gjennom flere arenaer, og Kaseya stengte VSA-serverne sine som et forholdsregler for å begrense den mulige videre spredning av REvil ransomware.

Angrepet var et eksempel på det infosec kaller et "supply chain attack", der en tjenesteleverandør er berørt, og gjennom dem - ytterligere klienter nedstrøms som bruker leverandørens tjenester.

Det er ingen hard informasjon om hvorvidt Kaseya betalte løsepenger. Det som er kjent er at den opprinnelige løsepengekravet ble stilt til $ 70 millioner, som Threatpost rapporterer senere ble tonet ned til $ 50 millioner.

Det Kaseya bekreftet i en kunngjøring 22. juli, er at selskapet hadde fått et dekrypteringsverktøy "fra en tredjepart", og flere team jobber aktivt med flere kunder som ble fanget i ransomware-angrepet.

Verktøyet er allerede bekreftet for å fungere og dekryptere ofrenes filer som forventet.

Sikkerhetsforskere som overvåker de utfoldende hendelsene, tror at det kan ha vært en løsepengerbetaling, siden utseendet til en universell dekrypteringsnøkkel som fungerer for alle ofrene for angrepet er litt uvanlig. Imidlertid er det ingen bevis eller offisiell bekreftelse på at løsepenger virkelig blir betalt, og forskere mener at selv om det er tilfelle, var løsepenger sannsynligvis blitt forhandlet lenger ned fra $ 50 millioner nevnt ovenfor.

Andre sikkerhetsforskere sa at selv om dekryptorens betydning ikke skal nedprioriteres eller håndbølges som noe ubetydelig, er det fortsatt problemet med å gjenoppbygge alle berørte systemer og nettverk og saken om potensielt exfiltrert informasjon.