У Касеи появился инструмент дешифрования REvil
Фирма сетевых сервисов Kaseya получила инструмент для дешифрования систем, зашифрованных вымогателем REvil после атаки на цепочку поставок, которая вызвала проблемы с вымогателем для многих клиентов Kaseya.
Групповая атака REvil на Kaseya и нижестоящих клиентов компании произошла в первые дни июня 2021 года. В первоначальной атаке использовались три различные уязвимости нулевого дня, которые с тех пор были исправлены. Клиенты были уведомлены об атаке через несколько мест, и Kaseya отключила свои серверы VSA в качестве меры предосторожности, чтобы ограничить возможное дальнейшее распространение вымогателя REvil.
Атака была примером того, что информационная безопасность называет «атакой цепочки поставок», когда затрагивается один поставщик услуг, а через него - другие клиенты, находящиеся ниже по течению, которые пользуются услугами поставщика.
Нет достоверной информации о том, заплатила ли Касея какой-либо выкуп. Что известно, так это то, что первоначальное требование выкупа было заявлено в размере 70 миллионов долларов, которое, как сообщает Threatpost, позже было уменьшено до 50 миллионов долларов.
В уведомлении от 22 июля Касея подтвердила, что компания получила инструмент дешифрования «от третьей стороны», и несколько команд активно работают с несколькими клиентами, пострадавшими от атаки программ-вымогателей.
Уже подтверждено, что инструмент работает и расшифровывает файлы жертв, как ожидалось.
Исследователи безопасности, отслеживающие разворачивающиеся события, полагают, что, возможно, произошла выплата выкупа, поскольку появление универсального ключа дешифрования, работающего для всех жертв атаки, немного необычно. Однако нет никаких доказательств или официального подтверждения того, что выкуп действительно выплачен, и исследователи полагают, что даже если это так, сумма выкупа, вероятно, была снижена по сравнению с упомянутыми выше 50 миллионами долларов.
Другие исследователи в области безопасности заявили, что, хотя важность дешифратора не следует преуменьшать или рассматривать как нечто незначительное, по-прежнему существует проблема восстановления всех затронутых систем и сетей, а также проблема потенциально перехваченной информации.