Kaseya otrzymuje narzędzie do deszyfrowania REvil
Firma usług sieciowych Kaseya uzyskała narzędzie do deszyfrowania systemów zaszyfrowanych przez oprogramowanie ransomware REvil po ataku na łańcuch dostaw, który spowodował problemy z oprogramowaniem ransomware dla wielu klientów Kaseya.
Atak grupy REvil na Kaseya i dalszych klientów firmy miał miejsce w pierwszych dniach czerwca 2021 r. Pierwotny atak wykorzystywał trzy różne luki zero-day, które od tego czasu zostały załatane. Klienci zostali powiadomieni o ataku za pośrednictwem wielu miejsc, a Kaseya zamknęła swoje serwery VSA jako środek ostrożności, aby ograniczyć możliwe dalsze rozprzestrzenianie się oprogramowania ransomware REvil.
Atak był przykładem tego, co infosec nazywa „atakiem łańcucha dostaw”, w którym atakowany jest jeden dostawca usług, a za jego pośrednictwem – kolejni klienci korzystający z usług dostawcy.
Nie ma twardych informacji na temat tego, czy Kaseya zapłaciła okup. Wiadomo natomiast, że pierwotnie zażądano okupu w wysokości 70 milionów dolarów, które, jak donosi Threatpost, obniżono później do 50 milionów dolarów.
To, co Kaseya potwierdził w powiadomieniu wydanym 22 lipca, to fakt, że firma uzyskała narzędzie do deszyfrowania „od strony trzeciej”, a wiele zespołów aktywnie współpracuje z wieloma klientami, którzy zostali wciągnięci w atak ransomware.
Potwierdzono już, że narzędzie działa i odszyfrowuje pliki ofiar zgodnie z oczekiwaniami.
Badacze bezpieczeństwa monitorujący rozwijające się wydarzenia uważają, że mogło dojść do zapłaty okupu, ponieważ pojawienie się uniwersalnego klucza deszyfrującego, który działa dla wszystkich ofiar ataku, jest nieco niezwykłe. Jednak nie ma dowodów ani oficjalnego potwierdzenia, że okup rzeczywiście został zapłacony, a naukowcy uważają, że nawet jeśli tak jest, kwota okupu prawdopodobnie została wynegocjowana dalej niż wspomniane powyżej 50 milionów dolarów.
Inni badacze bezpieczeństwa stwierdzili, że chociaż znaczenie deszyfratora nie powinno być bagatelizowane lub wręczane jako coś nieistotnego, nadal istnieje problem odbudowy wszystkich dotkniętych systemów i sieci oraz kwestia potencjalnie eksfiltrowanych informacji.
