Kaseya, un'azienda di software di gestione IT, afferma di aver ottenuto la chiave di decrittazione universale REvil tramite una “terza parte fidata.” Questo dovrebbe aiutare Kaseya a recuperare i dati da un attacco ransomware REvil del 4 luglio che ha colpito oltre 1.500 aziende.
REvil è uno dei numerosi gruppi di ransomware che operano nell'Europa orientale. Ha effettuato un attacco ransomware alla catena di approvvigionamento su Kaseya sfruttando una vulnerabilità nel prodotto VSA dell'azienda, una piattaforma che Kaseya utilizza per distribuire software ai propri clienti. Kaseya afferma che mancavano giorni alla correzione di questa vulnerabilità quando si è verificato l'hack.
Alla fine, il ransomware REvil ha colpito 60 clienti di Kaseya e oltre 1.500 reti a valle. Il gruppo ransomware ha chiesto 70 milioni di dollari in cambio di uno strumento di decrittazione universale, anche se fino a questo momento Kaseya ha evitato un simile accordo.
Quindi, come ha fatto Kaseya a ottenere la chiave di decrittazione universale REvil? È possibile, anche se improbabile, che l'azienda IT abbia sborsato oltre 70 milioni di dollari al gruppo REvil. Una spiegazione più plausibile è che REvil o una terza parte, forse la Casa Bianca o il Cremlino, abbiano consegnato la chiave a Kaseya gratuitamente.
Naturalmente, questa è solo speculazione. Ma molti dei siti web oscuri di REvil sono scomparsi la scorsa settimana a seguito di una telefonata tra il presidente Biden e Vladimir Putin. In una conferenza stampa venerdì 9 luglio, il presidente ha affermato di aver “messo in chiaro con [Putin] che gli Stati Uniti si aspettano, quando un'operazione ransomware sta arrivando dal loro suolo anche se non è , non, sponsorizzato dallo stato, che ci aspettiamo che agiscano.”
Il presidente ha anche confermato che ci sarebbero conseguenze per attacchi futuri e che gli Stati Uniti sono giustificati nel prendere di mira i server che ospitano operazioni ransomware.
Indipendentemente da come Kaseya abbia messo le mani sul decrypter REvil, l'azienda di software ora può sbloccare i dati che le aziende hanno perso nell'attacco ransomware del 4 luglio (e altri attacchi REvil). Si spera che questa svolta riduca il numero di attacchi ransomware che si verificano in futuro.
Fonte: The Guardian tramite ZDNet