Kaseya為REvil勒索軟件受害者拿到通用解密器
責(zé)編:gltian |2021-08-02 10:18:28
Kaseya收到了一個能夠免費讓7月2號REvil勒索軟件攻擊的受害者恢復(fù)他們文件的通用解密器。
7月2號,REvil勒索軟件利用Kaseya VSA遠(yuǎn)程管理應(yīng)用的0day漏洞發(fā)動了大規(guī)模的攻擊,對約60個管理服務(wù)提供商和約1500家企業(yè)進行了加密。在完成攻擊后,勒索軟件團伙開出價格:通用解密器需要7000萬美元,解密所有受感染的托管服務(wù)提供商需要500萬,解決一個受害者網(wǎng)絡(luò)上擴展的加密需要4萬美元。隨后,REvil勒索軟件團伙卻神秘消失,也關(guān)閉了他們的支付網(wǎng)站和基礎(chǔ)設(shè)施。當(dāng)時大部分受害者還沒有支付贖金,勒索軟件團伙的消失也使得那些需要購買解密器的公司無法進行購買。
7月22日,Kaseya發(fā)出聲明,他們從一個“受信任的第三方”收到了對應(yīng)上次勒索攻擊的通用解密器,現(xiàn)在也已經(jīng)分發(fā)給了受到影響的顧客。
“我們確認(rèn)解密器是從一個可靠的第三方渠道獲取的,但無法透露更多有關(guān)來源的信息。”Kaseya的營銷高級副總裁Dana Liedholm告訴BleepingComputer,“我們讓另一個第三方驗證了那個解密器,而后才開始把它交給受影響的顧客。”
盡管Kaseya并未透露密鑰來源,但它們向BleepingComputer表示,被分發(fā)的確系此次攻擊的通用解密密鑰,能讓所有托管服務(wù)提供商及其客戶免費解密文件。當(dāng)被問及是否支付了贖金才獲得解密器時,Kaseya告訴BleepingComputer,他們“既不能承認(rèn),也無法否認(rèn)”。
Emsisoft的CTO Fabian Wosar告訴BleepingComputer,他們是那個驗證了密鑰的第三方,同時他們也將繼續(xù)協(xié)助Kaseya進行恢復(fù)工作。
“我們正在與Kaseya合作來支持他們的客戶參與(CE)工作。我們已經(jīng)驗證了密鑰可用于解鎖受害者的文件,之后也將對Kaseya和它的客戶們提供技術(shù)支持。”Wosar稱。
REvil勒索軟件團伙關(guān)站失蹤的原因仍未解開,多個國際執(zhí)法部門表態(tài),該團伙的消失與他們并無關(guān)系。
在對JBS和Kaseya的攻擊發(fā)生后,白宮向俄羅斯政府施壓,要求俄羅斯對據(jù)信在其境內(nèi)活動的勒索軟件團伙采取行動。有人認(rèn)為是俄羅斯政府授令REvil團伙關(guān)閉并消失,以示與美國合作的誠意。由于解密器是在REvil團伙消失后獲得的,因此極有可能是俄羅斯直接從勒索軟件團伙獲得了解密器,為了示好而共享給美國的執(zhí)法部門。
當(dāng)我們向聯(lián)邦調(diào)查局(FBI)詢問他們是否參與了解密密鑰的購買時,被告知他們不對正在進行的調(diào)查發(fā)表評論。
“司法部(DOJ)和聯(lián)邦調(diào)查局正在對REvil/Sodinokibi勒索軟件變種背后的犯罪集團以及對Kaseya實施勒索軟件攻擊的攻擊者進行刑事調(diào)查。”FBI告訴BleepingComputer,“根據(jù)司法部的政策,我們無法對這個正在進行的調(diào)查發(fā)表進一步聲明。”
REvil的消失可能并不代表這個團伙網(wǎng)絡(luò)活動的終結(jié)。過去,GandCrab勒索軟件在停止活動后以REvil的身份重新出現(xiàn),這可能表明REvil可能也會換個名姓再次出現(xiàn)。
來源:安全客
- ISC.AI 2025正式啟動:AI與安全協(xié)同進化,開啟數(shù)智未來
- 360安全云聯(lián)運商座談會圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運”認(rèn)證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團賠償超4700萬元
- 推動數(shù)據(jù)要素安全流通的機制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國美中委員會發(fā)布DeepSeek調(diào)查報告
- 2024年中國網(wǎng)絡(luò)與信息法治建設(shè)回顧