Kaseya, het bedrijf dat getroffen door een grootschalige REvil ransomware-aanval, zegt dat het de officiële decoderingssleutel heeft verkregen, drie weken nadat de aanval plaatsvond.
Kaseya verkrijgt Universal Decryptor
"Aan 7/21/2021, Kaseya heeft een decryptor verkregen voor slachtoffers van de REvil ransomware-aanval, en we werken eraan om klanten die door het incident zijn getroffen, te herstellen,” de officiële verklaring zei:.
Het bedrijf zegt dat de tool afkomstig is van een derde partij. Momenteel, Kaseya helpt haar klanten hun omgevingen te herstellen, zonder meldingen van problemen die voortkomen uit de decryptor. “Kaseya werkt samen met Emsisoft om onze inspanningen voor klantbetrokkenheid te ondersteunen, en Emsisoft heeft bevestigd dat de sleutel effectief is bij het ontgrendelen van slachtoffers," de verklaring toegevoegd.
Over de Kaseya-aanval
Ook al beweerde de REvil-cyberbende dat ze besmet waren 1 miljoen systemen met Kaseya-services, federale autoriteiten zeiden dat het aantal geïnfecteerde entiteiten in de duizenden loopt. Ongeveer 1,500 systemen werden het slachtoffer van de aanval. Kaseya zei ook dat de aanval geen toeleveringsketen was, waardoor de mogelijkheid van toegang tot zijn backend-infrastructuur werd uitgesloten, maar het is eerder gebaseerd op de CVE-2021-30116 zero-days. De zero-days werden zo benut dat de REvil-ransomware met succes op kwetsbare systemen werd gepusht.
Op juli 12, Kaseya heeft patches uitgebracht voor de kwetsbaarheden, 10 dagen na de eerste aanval. "Vaste beveiligingsproblemen met betrekking tot het incident waarnaar hier wordt verwezen en andere updates gemaakt om de algehele beveiliging van het product te verbeteren,” zei Kaseya in haar advies:.
Kaseya VSA is virtuele systeem-/serverbeheerderssoftware die de infrastructuur van Kaseya-klanten bewaakt en beheert. Het product kan worden geleverd als een gehoste cloudservice, of via on-premises VSA-servers.
Het is merkwaardig om te vermelden dat in 2019 de GandCrab ransomware-bende gebruikte een paar jaar oude kwetsbaarheid in een softwarepakket dat wordt gebruikt door externe IT-ondersteuningsbedrijven om voet aan de grond te krijgen op kwetsbare netwerken. De genoemde fout werd gebruikt om toegang te verlenen tot kwetsbare netwerken en om de ransomware-payload te verspreiden. De fout in kwestie had invloed op de Kaseya-plug-in voor de Connectwise Manage-software, een professioneel serviceautomatiseringsproduct voor IT-ondersteuning.