Kaseya, een softwarebedrijf voor IT-beheer, zegt dat het de universele decoderingssleutel van REvil heeft verkregen via een “vertrouwde derde partij.” Dit zou Kaseya moeten helpen gegevens te herstellen van een REvil-ransomwareaanval op 4 juli die meer dan 1500 bedrijven trof.
REvil is een van de vele ransomware-groepen die actief zijn vanuit Oost-Europa. Het voerde een supply chain ransomware-aanval uit op Kaseya door misbruik te maken van een kwetsbaarheid in het VSA-product van het bedrijf, een platform dat Kaseya gebruikt om software naar haar klanten te distribueren. Kaseya beweert dat het enkele dagen duurde voordat deze kwetsbaarheid was gepatcht toen de hack plaatsvond.
Uiteindelijk trof de ransomware van REvil 60 klanten van Kaseya en meer dan 1.500 downstream-netwerken. De ransomwaregroep eiste $ 70 miljoen in ruil voor een universele decryptertool, maar tot nu toe heeft Kaseya een dergelijke deal vermeden.
Dus hoe kwam Kaseya aan de universele decoderingssleutel van REvil? Het is mogelijk, hoewel onwaarschijnlijk, dat het IT-bedrijf meer dan $ 70 miljoen aan de REvil-groep heeft betaald. Een meer plausibele verklaring is dat REvil of een derde partij, mogelijk het Witte Huis of het Kremlin, de sleutel gratis aan Kaseya heeft gegeven.
Natuurlijk is dit slechts speculatie. Maar verschillende donkere websites van REvil zijn vorige week verdwenen na een telefoontje tussen president Biden en Vladimir Poetin. In een persconferentie op vrijdag 9 juli beweerde de president dat hij [Poetin] heel duidelijk heeft gemaakt dat de Verenigde Staten verwachten wanneer een ransomware-operatie van hun bodem komt, ook al is dat niet het geval. , niet, gesponsord door de staat, dat we verwachten dat ze handelen.”
De president bevestigde ook dat er gevolgen zouden zijn voor toekomstige aanvallen, en dat de VS gerechtvaardigd is om servers te targeten die hosten ransomware-operaties.
Ongeacht hoe Kaseya de REvil-decrypter in handen kreeg, het softwarebedrijf kan nu gegevens ontgrendelen die bedrijven verloren zijn bij de ransomware-aanval van 4 juli (en andere REvil-aanvallen). Hopelijk zal deze doorbraak in de toekomst het aantal ransomware-aanvallen verminderen.
Bron: The Guardian via ZDNet