Kaseya, dostawca usług IT, który był tematem atak ransomware REvil/Sodinokibi zaaranżowany przez serię luk w zabezpieczeniach produktu VSA na początku lipca 2021 r., twierdzi, że udało mu się uzyskać uniwersalny klucz odszyfrowujący, aby umożliwić klientom z okupem odblokowanie ich plików za darmo.
Firma weszła w posiadanie narzędzia do rozstrzygania w dniu 21 lipca i obecnie kontaktuje się z klientami, których systemy zostały zablokowane przez konsorcjum REvil w celu ich naprawienia.
„Możemy potwierdzić, że Kaseya uzyskała narzędzie od strony trzeciej i że zespoły aktywnie pomagają klientom dotkniętym przez oprogramowanie ransomware w przywracaniu ich środowisk, bez żadnych zgłoszeń o jakichkolwiek problemach lub problemach związanych z deszyfratorem” – powiedział Kaseya w oświadczeniu.
„Kaseya pracuje z Emsisoft aby wesprzeć nasze wysiłki na rzecz zaangażowania klientów, a Emsisoft potwierdził, że klucz jest skuteczny w odblokowywaniu ofiar”.
początkowy atak, które odbyło się w piątek 2 lipca, tuż przed weekendem świątecznym Dnia Niepodległości w Stanach Zjednoczonych, około 60 dostawców usług zarządzanych (MSP) korzystało z szyfrowania VSA, co miało znaczący wpływ na tysiące dalszych klientów, z których wielu to małe firmy.
Konsorcjum oprogramowania ransomware REvil stojące za atakiem zażądało w sumie 70 milionów dolarów na dostarczenie uniwersalnego deszyfratora, ale nieco ponad tydzień później znaczna część infrastruktury grupy została z powodów wyłączona. które jeszcze nie zostały ustalone.
To, w połączeniu z naciskiem dyrektora generalnego Kaseya, Freda Voccoli, że firma w żadnych okolicznościach nie będzie negocjować ze swoimi napastnikami, oraz użycie terminu „zaufana strona trzecia” wydaje się, w chwili pisania tego tekstu, sugerować, że Kaseya nie zapłacił okup.
Siostrzany tytuł Computer Weekly Zapytał Kaseya . SearchSecurity niezależnie od tego, czy otrzymanie klucza było powiązane z zapłaceniem okupu przez samą firmę, czy przez stronę trzecią, ale Kaseya odmówiła podania dalszych szczegółów.
Doprowadziło to do spekulacji w środowisku bezpieczeństwa, że klucz został przekazany przez niezadowolonego partnera REvil, że gang był pod presją rządu rosyjskiego, aby przekazał klucz organom ścigania, lub że został poddany jeszcze nieujawnione działania władz USA.
Eset Jake Moore powiedział, że rzeczywiście jest prawdopodobne, że jeden z tych scenariuszy jest najbardziej prawdopodobny. „Narzędzia deszyfrujące oznaczają, że firma zapłaciła okup lub rządy zaangażowały się w odkrycie” – powiedział. „Zwykle bardzo rzadko zdarza się znaleźć narzędzie, które po prostu naprawi problemy, ale może to być jedyna nadzieja dla dotkniętych organizacji.
„W ciągu 19 dni od ataku te firmy mogły uniknąć ogromnej kuli za pomocą tego deszyfratora, a obrzydliwe uczucie ataku może teraz wzmocnić ich przyszłe bezpieczeństwo”.