Notícias Mundo

A divulgação da chave de descriptografia por uma empresa de software chega tarde demais para muitas vítimas de um ataque de ransomware devastador

A empresa disse que a Kaseya obteve uma chave de descriptografia que pode liberar qualquer arquivo ainda bloqueado por malware produzido pela gangue criminosa REvil, possivelmente operando na Europa Oriental ou na Rússia.

Para organizações cujos sistemas ainda estavam offline três semanas após o ataque, a nova disponibilidade da ferramenta de descriptografia foi um sinal de esperança, especialmente depois que REvil misteriosamente desapareceu da Internet e impediu que muitas organizações entrassem em contato com o grupo.

Mas para muitos outros que já se recuperaram sem a ajuda de Kaseya, seja pagando a gangue de ransomware algumas semanas atrás ou restaurando meticulosamente a partir de backups, este anúncio não ajudou – e abre um novo capítulo de análise para Kaseya, pois ela se recusa a responder a perguntas sobre isso, como ele obteve a chave e se ele pagou um pedido de resgate de $ 70 milhões ou alguma outra quantia.

“Seria muito bom ter três semanas atrás; agora, gastamos mais de 2.000 horas recondicionando ”, disse Joshua Justice, CEO do fornecedor de TI Just Tech, que trabalhou sem parar por quase duas semanas para colocar mais de 100 sistemas cliente em funcionamento a partir dos backups da Just Tech. “É claro que nossos clientes não podiam esperar que ficássemos sentados.”

A justiça confirmou que a ferramenta que a Kaseya lançou funcionou amplamente para ele. A porta-voz da Kasey, Dana Liedholm, disse à CNN em um comunicado na sexta-feira que “menos de 24 horas se passaram” desde que a ferramenta foi obtida, sua existência foi anunciada e que a empresa estava fornecendo a chave de descriptografia para apoiar as empresas que são seus clientes – que por sua vez usará a ferramenta para desbloquear computadores de inúmeros restaurantes, escritórios de contabilidade e consultórios odontológicos atingidos pelo hacker.

Para acessar a ferramenta, a Kaseya exige que as empresas assinem um acordo de sigilo, de acordo com vários especialistas em segurança cibernética que trabalham com as empresas afetadas. Embora esses acordos não sejam incomuns no setor, eles podem dificultar o entendimento do que aconteceu após o incidente. A Kaseya não quis comentar sobre os acordos de não divulgação.

Frustração

De acordo com Andrew Kaiser, vice-presidente de vendas da empresa de segurança cibernética Huntress Labs, que trabalha com as três empresas de suporte técnico afetadas, algumas empresas afetadas pelo malware REvil estão frustradas com a introdução do Kaseya algumas semanas após o primeiro ataque.

“Falei com um provedor de serviços ontem”, disse Kaiser CNN, “que disse:” Ei, olhe, somos uma empresa de 10 a 20 pessoas. Gastamos mais de 2.500 horas de trabalho recriando-o em toda a empresa. “Se soubéssemos há uma semana ou 10 que havia a possibilidade de obter essa ferramenta de descriptografia, teríamos tomado decisões completamente diferentes. Agora, temos apenas 10 ou 20 sistemas que poderiam se beneficiar com isso.

A maioria das empresas na mesma situação optou por comer os custos de recuperação em vez de repassá-los aos clientes, disse Kaiser, o que significa que podem ter perdido mão de obra, tempo e dinheiro para se recuperar em uma emergência.

Enquanto algumas empresas conseguiram se recuperar do ataque por conta própria, muitas outras lutaram por semanas sem sucesso. O problema foi agravado quando as páginas do REvil desapareceram, tornando impossível entrar em contato com o grupo para pagar um resgate ou obter suporte técnico. O desaparecimento inexplicável do grupo gerou especulações generalizadas de que o governo dos Estados Unidos ou da Rússia pode estar envolvido, embora nenhum país tenha admitido isso. As autoridades americanas não quiseram comentar, e um porta-voz do Kremlin negou qualquer conhecimento do assunto.

GroupSense, uma empresa de segurança cibernética, trabalhou com duas organizações, uma escola particular de pequeno e médio porte e um escritório de advocacia, que ficaram sem saber o que fazer quando não conseguiam mais se comunicar com a REvil.

“Estávamos negociando ativamente com a REvil quando eles ficaram off-line”, disse o diretor de inteligência do GroupSense, Bryce Webster-Jacobsen, à CNN. “Imediatamente das vítimas com quem trabalhamos, obtivemos:“ Espere, espere, o que você quer dizer com esses caras estão offline? O que isso significa para nós? ”

Outras vítimas já pagaram um resgate por REvil. Uma dessas organizações teve problemas para lidar com a chave que recebeu do grupo, diz Critical Insight, a empresa de segurança cibernética que a vítima contratou para ajudar. No entanto, de acordo com Mike Hamilton, cofundador da Critical Insights, após o súbito desaparecimento de REvil, a vítima foi imobilizada. A vítima, que se recusou a fornecer seu nome e não tinha backups confiáveis, teve medo de retornar aos clientes pedindo novas cópias de todos os dados necessários para concluir seus projetos.

O anúncio da Kaseya esta semana provavelmente marcará a restauração final dos dados dessas vítimas. Mas isso não muda os recursos que eles tiveram que gastar ou as decisões tediosas que tiveram que tomar no longo período entre o ataque e o anúncio da Kaseya de um descriptografador que as vítimas desconheciam. .

“Os três, quatro, cinco dias extras podem ser a diferença entre uma empresa que ainda está operando e dizer: ‘Não podemos seguir em frente’, disse Kaiser.

Um quebra-cabeça para a administração Biden

Esse tipo de enigma influenciou a mentalidade do governo Biden, à medida que as autoridades policiais e de inteligência investigavam a remoção offline de grupos de ransomware, disseram pessoas a par das discussões. Em particular, o Conselho de Segurança Nacional investigou como evitar ferir indiretamente as vítimas que podem não ser capazes de recuperar seus dados se grupos criminosos forem desmembrados ou desaparecerem.

O governo busca cada vez mais interromper redes de ransomware, rastrear pagamentos de resgate e construir uma coalizão internacional contra o crime cibernético. Mas as autoridades se recusam terminantemente a responder à questão de se o governo dos Estados Unidos desempenhou um papel no desaparecimento de REvil. O grupo, que também é acusado de lançar o recente ataque de ransomware ao fornecedor de carne JBS Foods, encerrou as operações logo depois que um alto funcionário do governo prometeu que as autoridades americanas tomariam medidas contra os grupos de ransomware “nos próximos dias e semanas”.

A higiene básica da segurança cibernética é a melhor maneira para as empresas se vacinarem contra o ransomware, disse um porta-voz do NSC à CNN. Mas, no caso das vítimas, o governo está considerando como a estratégia de ransomware que está desenvolvendo pode afetá-las, disse um porta-voz.

Como é realmente negociar com atacantes de ransomware

À medida que mais organizações usam as ofertas de descriptografia da Kasey, é possível que mais informações venham à tona sobre como a empresa encontrou a ferramenta, disse Kaiser.

Até então, os especialistas em segurança cibernética tinham que adivinhar o que poderia ter acontecido. Muitos especialistas concordam que as teorias se enquadram em vários segmentos principais.

É tecnicamente possível, mas improvável, que a Kaseya ou um de seus parceiros possa recriar a ferramenta de ransomware, disse Drew Schmitt, analista chefe de inteligência de ameaças da GuidePoint Security. Ele acrescentou que grupos como o REvil geralmente não deixam vulnerabilidades em seu código que possam ser exploradas.

Ele disse que a teoria mais provável é que Kaseya recebeu ajuda de policiais. Se o desaparecimento de REvil foi na verdade o resultado de uma operação liderada pelo governo, as autoridades poderiam sequestrar um descriptografador que poderiam usar para ajudar a Kaseya, disseram vários especialistas em segurança cibernética.

Também é possível que o próprio REvil tenha passado o descriptografador, voluntariamente ou sob pressão das autoridades dos EUA ou da Rússia, disse Kyle Hanslovan, CEO da Huntress Labs.

Mas o cenário mais provável também é o mais simples, disse Schmitt: Kaseya ou alguém agindo em seu nome pagou o resgate.

Isso levanta outras questões às quais Kaseya não respondeu: A empresa pagou o resgate? Se sim, então quando? Se a empresa se comunicou com a REvil após seu desaparecimento, como ela se comunicou?

“Existem muitos cenários que podem acontecer, mas não temos muitas informações para dizer de uma forma ou de outra”, disse Schmitt, acrescentando que as informações sobre a resposta da Kaseya ao ataque “podem servir como um estudo de caso para situações futuras em movimento. para a frente. ”