Kaseya, el proveedor de servicios de TI que fue objeto de un ataque de ransomware REvil / Sodinokibi orquestado a través de una serie de vulnerabilidades en su producto VSA a principios de julio de 2021, dice que ha logrado obtener una clave de descifrado universal para permitir a los clientes rescatados desbloquear sus archivos. gratis.
La firma tomó posesión de la herramienta de descifrado el 21 de julio y actualmente está contactando a los clientes cuyos sistemas fueron bloqueados por el sindicato REvil para remediarlos.
“Podemos confirmar que Kaseya obtuvo la herramienta de un tercero y tenemos equipos que ayudan activamente a los clientes afectados por el ransomware a restaurar sus entornos, sin informes de ningún problema o problemas asociados con el descifrador”, dijo Kaseya en un comunicado.
“Kaseya está trabajando con Emsisoft para respaldar nuestros esfuerzos de participación del cliente, y Emsisoft ha confirmado que la clave es eficaz para desbloquear a las víctimas “.
El ataque inicial, que tuvo lugar el viernes 2 de julio, inmediatamente antes del fin de semana festivo del Día de la Independencia en los EE. UU., Vio a unos 60 proveedores de servicios administrados (MSP) que utilizan VSA cifrado, con un impacto significativo en miles de clientes intermedios, muchos de ellos pequeños. empresas.
El sindicato de ransomware REvil detrás del ataque había exigido un total de $ 70 millones para proporcionar un descifrador universal, pero poco más de una semana después, una parte significativa de la infraestructura del grupo se desconectó por razones que aún no se han establecido.
Esto, junto con la insistencia del director ejecutivo de Kaseya, Fred Voccola, de que la empresa no negociaría con sus atacantes bajo ninguna circunstancia, y el uso del término “tercero de confianza” parecería, en el momento de redactar este artículo, sugerir que Kaseya no ha pagó un rescate.
El título hermano de Computer Weekly, SearchSecurity, preguntó a Kaseya si la recepción de la clave estaba vinculada o no a un pago de rescate realizado por la propia empresa o por un tercero, pero Kaseya se negó a proporcionar más detalles.
Esto ha llevado a la especulación en la comunidad de seguridad de que la llave fue entregada por un afiliado de REvil descontento, que la banda ha sido presionada por el gobierno ruso para que entregue la llave a las fuerzas del orden público, o que ha sido objeto de una avería. acción aún no revelada de las autoridades estadounidenses.
Jake Moore de Eset dijo que de hecho era probable que uno de estos escenarios fuera el más probable. “Las herramientas de descifrado significan que la empresa ha pagado el rescate o que los gobiernos se han involucrado en el descubrimiento”, dijo. “Por lo general, es muy raro encontrar una herramienta que simplemente solucione los problemas, pero puede ser la única esperanza para las organizaciones afectadas.
“Con 19 días desde el ataque, las empresas afectadas pueden haber esquivado una gran bala con este descifrador y la sensación repugnante del ataque ahora puede reforzar su seguridad futura”.