Kaseya, ein Unternehmen für IT-Management-Software, sagt, dass es den universellen REvil-Entschlüsselungsschlüssel von einem “vertrauenswürdigen Dritten erhalten hat.” Dies sollte Kaseya helfen, Daten von einem REvil-Ransomware-Angriff vom 4. Juli, von dem über 1.500 Unternehmen betroffen waren, wiederherzustellen.
REvil ist eine von mehreren Ransomware-Gruppen, die in Osteuropa tätig sind. Es führte einen Ransomware-Angriff in der Lieferkette auf Kaseya durch, indem es eine Schwachstelle im VSA-Produkt des Unternehmens ausnutzte, einer Plattform, die Kaseya verwendet, um Software an seine Kunden zu verteilen. Kaseya behauptet, dass es noch Tage dauerte, diese Schwachstelle zu patchen, als der Hack auftrat.
Am Ende betraf die Ransomware von REvil 60 der Kunden von Kaseya und über 1.500 nachgelagerte Netzwerke. Die Ransomware-Gruppe forderte 70 Millionen US-Dollar im Austausch für ein universelles Entschlüsselungstool, obwohl Kaseya einen solchen Deal bisher vermieden hat.
Wie hat Kaseya den universellen Entschlüsselungsschlüssel von REvil erhalten? Es ist möglich, wenn auch unwahrscheinlich, dass die IT-Firma der REvil-Gruppe über 70 Millionen US-Dollar zukommen ließ. Eine plausiblere Erklärung ist, dass REvil oder ein Dritter, möglicherweise das Weiße Haus oder der Kreml, Kaseya den Schlüssel kostenlos überreicht haben.
Natürlich sind dies nur Spekulationen. Aber mehrere der dunklen Websites von REvil sind letzte Woche nach einem Telefonat zwischen Präsident Biden und Wladimir Putin verschwunden. In einer Pressekonferenz am Freitag, den 9. Juli, behauptete der Präsident, dass er “[Putin] sehr deutlich gemacht habe, dass die Vereinigten Staaten erwarten, dass eine Ransomware-Operation von ihrem Boden kommt, obwohl dies nicht der Fall ist , nicht, vom Staat gesponsert, dass wir von ihnen erwarten, dass sie handeln.”
Der Präsident bestätigte auch, dass es Konsequenzen für zukünftige Angriffe geben würde und dass die USA berechtigt sind, auf Server zu zielen, die hosten Ransomware-Operationen.
Unabhängig davon, wie Kaseya an den REvil-Entschlüsseler gekommen ist, kann die Softwarefirma jetzt Daten entsperren, die Unternehmen durch den Ransomware-Angriff vom 4. Juli (und andere REvil-Angriffe) verloren haben. Hoffentlich wird dieser Durchbruch die Anzahl der Ransomware-Angriffe in Zukunft reduzieren.
Quelle: The Guardian via ZDNet