Kaseya krijgt REvil Decryption Tool in handen
Netwerkservicebedrijf Kaseya heeft een decoderingstool gekregen voor systemen die zijn versleuteld door de REvil-ransomware na de aanval in de toeleveringsketen die ransomware-problemen veroorzaakte voor veel van Kaseya's klanten.
De REvil-groepsaanval op Kaseya en downstream-klanten van het bedrijf vond plaats in de eerste dagen van juni 2021. De oorspronkelijke aanval maakte gebruik van drie verschillende zero-day-kwetsbaarheden die sindsdien allemaal zijn gepatcht. Klanten werden via meerdere locaties op de hoogte gebracht van de aanval en Kaseya sloot uit voorzorg de VSA-servers af om de mogelijke verdere verspreiding van de REvil-ransomware te beperken.
De aanval was een voorbeeld van wat infosec een "supply-chain-aanval" noemt, waarbij één serviceprovider wordt getroffen, en via hen - verdere klanten stroomafwaarts die de services van de provider gebruiken.
Er is geen harde informatie over het al dan niet betalen van losgeld door Kaseya. Wat wel bekend is, is dat het oorspronkelijke losgeld werd geëist van $ 70 miljoen, wat volgens Threatpost later werd verlaagd tot $ 50 miljoen.
Wat Kaseya wel bevestigde in een bericht dat op 22 juli werd uitgegeven, is dat het bedrijf een decoderingstool "van een derde partij" had gekregen en dat meerdere teams actief samenwerken met meerdere klanten die verstrikt raakten in de ransomware-aanval.
Er is al bevestigd dat de tool werkt en de bestanden van slachtoffers ontsleutelt zoals verwacht.
Beveiligingsonderzoekers die de zich ontvouwende gebeurtenissen volgen, geloven dat er mogelijk losgeld is betaald, aangezien het verschijnen van een universele decoderingssleutel die werkt voor alle slachtoffers van de aanval een beetje ongebruikelijk is. Er is echter geen bewijs of officiële bevestiging dat het losgeld daadwerkelijk is betaald en onderzoekers geloven dat zelfs als dat het geval is, het losgeld waarschijnlijk lager was onderhandeld dan de hierboven genoemde $ 50 miljoen.
Andere beveiligingsonderzoekers zeiden dat hoewel het belang van de decryptor niet mag worden gebagatelliseerd of met de hand gezwaaid als iets onbeduidends, er nog steeds het probleem is van het opnieuw opbouwen van alle getroffen systemen en netwerken en de kwestie van mogelijk geëxfiltreerde informatie.
