Kaseya primește un instrument de decriptare universal pentru ransomware-ul REvil

de | august 6, 2021 | Știri de securitate cibernetică

Furnizorul de decriptor va colabora îndeaproape cu clienții afectați de valul de atacuri ransomware din luna iulie a acestui an pentru a-i ajuta să își recupereze fișierele. Ceea ce nu se știe, însă, este dacă Kaseya a plătit răscumpărarea cerută de hackeri.

Val de atacuri ransomware la nivel mondial în luna iulie a acestui an

Valul mondial de atacuri cibernetice de la începutul lunii iulie a afectat cel puțin 60 de clienți ai Kaseya, blocându-le sistemele.

Atacurile au profitat de vulnerabilitățile de tip „zero-day”, acum remediate, ale platformei Kaseya Virtual System/Server Administrator (VSA).

Kaseya a obținut un decriptor universal care îi va ajuta pe clienții săi să își recupereze datele.

Clienții afectați din 22 de țări foloseau versiunea locală a platformei. Mulți dintre acești clienți sunt furnizori de servicii gestionate (managed service providers – MSPs) care utilizează VSA pentru a supraveghea și gestiona rețelele altor întreprinderi.

Pe lângă cei 60 de clienți direcți, aproximativ 1 500 de clienți indirecți ai acestor MSP au fost, de asemenea, afectați.

Clienții Kaseya folosesc software-ul VSA pentru a supraveghea și gestiona de la distanță infrastructura de rețea și software.

Hackerii au cerut o răscumpărare de 70 de milioane de dolari în schimbul dispozitivului de decriptare

Grupul de hackeri REvil ransomware s-a aflat în spatele atacului care a afectat Kaseya și a cerut suma impresionantă de 70 de milioane de dolari în schimbul unui decriptor public universal care să deblocheze datele tuturor victimelor afectate. Totuși, se presupune că acest preț a fost redus la 50 de milioane de dolari în urma negocierilor, ceea ce îl transformă în cea mai mare plată de ransomware din toate timpurile, în cazul în care plata a fost, până la urmă, efectuată.

Joi după-amiază, furnizorul de dispozitive de decriptare a anunțat că a obținut cheia „prin intermediul unei terțe părți”. Cu toate acestea, rămâne neclar dacă răscumpărarea a fost plătită sau nu.

„Putem confirma că Kaseya a obținut instrumentul de la o terță parte și că echipele noastre ajută în mod activ clienții afectați de ransomware să își restabilească sistemele, fără a fi raportate probleme sau probleme asociate cu programul de decriptare”, a precizat acesta. „Kaseya colaborează cu Emsisoft pentru a sprijini eforturile asumate de clienții noștri, iar Emsisoft a confirmat că cheia este eficientă pentru deblocarea victimelor… Clienții care au fost afectați de ransomware vor fi contactați de reprezentanții Kaseya.”

REvil a dispărut pe 13 iulie

Organizația de infractori cibernetici REvil a dispărut cu totul pe 13 iulie, când site-urile sale s-au evaporat de pe internet, iar reprezentanții săi au fost interziși pe forumuri underground cunoscute, ceea ce nu a făcut decât să adâncească misterul.

Emsisoft nu a publicat mai multe detalii: „Lucrăm cu Kaseya pentru a sprijini eforturile depuse de clienții lor”, a declarat Emsisoft într-o declarație dată pentru Threatpost. „Am confirmat eficiența cheii pentru deblocarea victimelor și vom continua să oferim sprijin pentru Kaseya și clienții săi.”

„Apariția bruscă a acestei chei universale sugerează că este posibil ca această răscumpărare să fi fost plătită, cu toate că este probabil ca răscumpărarea să fi fost negociată la un preț mai mic”, a declarat prin e-mail Ivan Righi, analist de securitate privind amenințările cibernetice la Digital Shadows.

Decriptarea nu înseamnă că s-a terminat coșmarul

Deși cheia principală de decriptare a fost obținută, este posibil ca atacul să nu se fi încheiat, au avertizat cercetătorii. REvil este cunoscut pentru atacurile sale de dublă extorsiune, prin care fură datele companiei pe lângă faptul că aceasta este atacată de ransomware.

„Este posibil ca grupul să aibă în continuare copii ale datelor furate de la victime”, a declarat Righi. „Grupul ar putea folosi aceste date pentru a șantaja victimele sau pentru a le scoate la licitație, așa cum a mai făcut în trecut pe site-ul său Happy Blog.”

Erich Kron, militant pentru conștientizarea securității la KnowBe4, a remarcat că rezolvarea problemelor cauzate de atac va necesita mai mult decât simpla aplicare a programului de decriptare a fișierelor.

S-au produs deja pagube semnificative în ceea ce privește timpul de nefuncționare și costurile de recuperare, atât în prezent, cât și în viitor”, a precizat acesta prin e-mail. „Chiar și cu datele decriptate, există costuri semnificative asociate cu recuperarea dispozitivelor și a datelor. Simpla decriptare a datelor nu rezolvă problemele care rămân, cum ar fi potențialele back doors instalate pe care atacatorii le-ar putea folosi ulterior. Ceea ce înseamnă că mai este încă mult de lucru.”

Directorul tehnic al echipei CTO de la Vectra, Tim Wade, a avertizat că ar putea exista și alte surprize neplăcute pentru victime după aceste atacuri.

„De la distanță, apariția unei chei maestre poate părea mai reconfortantă decât ar trebui”, a avertizat el. „Valoarea accelerării restabilirii datelor și serviciilor nu trebuie neglijată, dar nici nu va șterge propriu-zis costul deja considerabil al acestor atacuri. Iar acesta este un cost suportat atât în ceea ce privește întreruperea istorică, cât și, având în vedere predispoziția acestor operatori criminali de a lăsa backdoor-uri persistente, nevoia continuă de a reconstrui infrastructura compromisă până la o stare pură și demnă de încredere. Așa că da, trecând peste modul în care a fost obținută această cheie, este posibil să aibă unele rezultate pozitive, dar, așa cum se spune – nu se termină până nu se termină.”

Deoarece amenințările cibernetice nu încetează vreodată să evolueze, iar compania dvs. ar putea fi următoarea pe lista de ținte, de ce să amânați instruirea și educarea angajaților dvs. cu privire la pericolele online?

Programul de instruire în domeniul conștientizării securității de la Attack Simulator este soluția perfectă pentru afacerea dumneavoastră. Așa că nu mai pierdeți niciun minut și obțineți o ofertă aici.

Surse:

ThreatPost threatpost.com/kaseya-universal-decryptor-revil-ransomware

Atribuire

Fotografie de Kelly Sikkema pe Unsplash

by Diana Panduru

Content writer for Attack Simulator. Passionate about all things writing and cybersecurity, and obsessed with driving. I sometimes indulge in pencil drawing, poetry, and cooking for fun.

Nu există niciun motiv pentru a amâna instruirea angajaților.

Solicitați o ofertă bazată pe nevoile organizației dvs. și începeți să construiți o infrastructură puternică de securitate cibernetică chiar astăzi.