Een vergrootglas over het Kaseya-logo.
Postmoderne studio/Shutterstock.com

Kaseya, een softwarebedrijf voor IT-beheer, zegt dat het de universele decoderingssleutel van REvil heeft verkregen via een “vertrouwde derde partij.” Dit zou Kaseya moeten helpen gegevens te herstellen van een REvil ransomware-aanval op 4 juli die meer dan 1500 bedrijven trof.

REvil is een van de vele ransomware-groepen die opereren vanuit Oost-Europa. Het voerde een supply chain ransomware-aanval uit op Kaseya door misbruik te maken van een kwetsbaarheid in het VSA-product van het bedrijf, een platform dat Kaseya gebruikt om software naar haar klanten te distribueren. Kaseya beweert dat het enkele dagen verwijderd was van het patchen van deze kwetsbaarheid toen de hack plaatsvond.

Uiteindelijk trof de ransomware van REvil 60 van Kaseya’s klanten en meer dan 1500 downstream-netwerken. De ransomwaregroep eiste $ 70 miljoen in ruil voor een universele decryptertool, maar tot nu toe heeft Kaseya een dergelijke deal vermeden.

Dus hoe kwam Kaseya aan de universele decoderingssleutel van REvil? Het is mogelijk, hoewel onwaarschijnlijk, dat het IT-bedrijf meer dan $ 70 miljoen aan de REvil-groep heeft betaald. Een meer plausibele verklaring is dat REvil of een derde partij, mogelijk het Witte Huis of het Kremlin, de sleutel gratis aan Kaseya heeft overhandigd.

Natuurlijk is dit slechts speculatie. Maar verschillende donkere websites van REvil verdween vorige week na een telefoontje tussen president Biden en Vladimir Poetin. In een persconferentie op vrijdag 9 juli beweerde de president dat hij”het [Poetin] heel duidelijk heeft gemaakt dat de Verenigde Staten verwachten dat wanneer een ransomware-operatie van hun bodem komt, ook al is het niet, niet, gesponsord door de staat, dat we verwachten dat hen om te handelen.”

De president bevestigde ook dat er gevolgen zouden zijn voor toekomstige aanvallen en dat de VS gerechtvaardigd is om servers te targeten die ransomware-operaties hosten.

Ongeacht hoe Kaseya de REvil-decrypter in handen heeft gekregen, het softwarebedrijf kan nu gegevens ontgrendelen die bedrijven zijn kwijtgeraakt bij de ransomware-aanval van 4 juli (en andere REvil-aanvallen). Hopelijk zal deze doorbraak het aantal ransomware-aanvallen in de toekomst verminderen.

Bron: The Guardian via ZDNet