Novas

Um fornecedor de software pego em um ataque de ransomware REvil obtém uma chave de descriptografia

A Kaseya agora está ajudando a restaurar os sistemas dos clientes cujas redes ainda estavam bloqueadas pelo REvil.

“Posso confirmar que recebemos o descriptografador e estamos trabalhando atualmente para ajudar os clientes afetados”, disse o porta-voz da Kaseya, Dana Liedholm. “Não podemos compartilhar a fonte, mas podemos dizer que é de um terceiro confiável.”

Liedholm se recusou a responder a outras perguntas sobre se a chave de descriptografia foi submetida a engenharia reversa do malware REvil.

Brett Callow, analista de ameaças da Emsisoft, uma empresa de segurança cibernética, disse que sua empresa verificou a eficácia da chave na restauração dos dados das vítimas.

“Estamos trabalhando com a Kaseya para apoiar seus esforços para envolver os clientes. Confirmamos que a chave é eficaz para desbloquear as vítimas e continuará a apoiar Kaseya e seus clientes ”, disse Callow à CNN.

Destacando este ponto, Drew Schmitt, analista líder de inteligência de ameaças da GuidePoint Security, disse que, embora não estivesse envolvido na situação da Kaseya, ele estava confiante de que a chave deveria funcionar.

“Existem circunstâncias muito limitadas em que obtive o descriptografador durante as negociações e descobri que ou não funcionava ou encontrei um problema sério com ele”, disse Schmitt. “A porcentagem de casos ou incidentes em que o descriptografador simplesmente não funciona é muito baixa e está mais perto de zero do que qualquer outra coisa.”

O ataque Kasey foi considerado um dos maiores ataques de ransomware da história. Em 2 de julho, hackers vinculados ao REvil – uma gangue cibercriminosa que supostamente opera fora da Europa Oriental ou da Rússia – usaram as ferramentas de gerenciamento remoto da Kaseya para entregar malware aos clientes da Kaseya que criptografava e bloqueava seus dados.

Ainda não está claro como os invasores conseguiram obter acesso ao produto Kaseya.

Muitos dos clientes da Kaseya são empresas de suporte de TI que ajudam pequenas empresas, como dentistas, restaurantes locais e firmas de contabilidade, a atender às suas necessidades de tecnologia da informação. Quando as empresas de apoio o fizeram, isso também atingiu seus próprios clientes, levando Kasey a estimar mais tarde que até 1.500 organizações em todo o mundo poderiam ter sido atacadas por ransomware.
REvil exigiu um resgate de $ 70 milhões em troca de uma chave de descriptografia que poderia desbloquear simultaneamente todos os sistemas afetados. Mas mesmo com algumas empresas ainda balançando com o ataque, REvil desapareceu da Internet – a maioria de seus sites se tornou inativa.
O misterioso desaparecimento do grupo na semana passada gerou especulações sobre seu destino. O governo dos EUA se recusou terminantemente a dizer se havia desempenhado algum papel, embora o governo Biden tenha prometido reprimir o ransomware. E no caso do Colonial Pipeline, os policiais dos EUA conseguiram rastrear e recuperar parte do dinheiro que a empresa pagou aos atacantes de ransomware – um grupo conhecido como DarkSide, que também desapareceu.

You may also like