Kaseya為REvil勒索軟件受害者拿到通用解密器
責編:gltian |2021-08-02 10:18:28
Kaseya收到了一個能夠免費讓7月2號REvil勒索軟件攻擊的受害者恢復他們文件的通用解密器。
7月2號,REvil勒索軟件利用Kaseya VSA遠程管理應用的0day漏洞發動了大規模的攻擊,對約60個管理服務提供商和約1500家企業進行了加密。在完成攻擊后,勒索軟件團伙開出價格:通用解密器需要7000萬美元,解密所有受感染的托管服務提供商需要500萬,解決一個受害者網絡上擴展的加密需要4萬美元。隨后,REvil勒索軟件團伙卻神秘消失,也關閉了他們的支付網站和基礎設施。當時大部分受害者還沒有支付贖金,勒索軟件團伙的消失也使得那些需要購買解密器的公司無法進行購買。
7月22日,Kaseya發出聲明,他們從一個“受信任的第三方”收到了對應上次勒索攻擊的通用解密器,現在也已經分發給了受到影響的顧客。
“我們確認解密器是從一個可靠的第三方渠道獲取的,但無法透露更多有關來源的信息。”Kaseya的營銷高級副總裁Dana Liedholm告訴BleepingComputer,“我們讓另一個第三方驗證了那個解密器,而后才開始把它交給受影響的顧客。”
盡管Kaseya并未透露密鑰來源,但它們向BleepingComputer表示,被分發的確系此次攻擊的通用解密密鑰,能讓所有托管服務提供商及其客戶免費解密文件。當被問及是否支付了贖金才獲得解密器時,Kaseya告訴BleepingComputer,他們“既不能承認,也無法否認”。
Emsisoft的CTO Fabian Wosar告訴BleepingComputer,他們是那個驗證了密鑰的第三方,同時他們也將繼續協助Kaseya進行恢復工作。
“我們正在與Kaseya合作來支持他們的客戶參與(CE)工作。我們已經驗證了密鑰可用于解鎖受害者的文件,之后也將對Kaseya和它的客戶們提供技術支持。”Wosar稱。
REvil勒索軟件團伙關站失蹤的原因仍未解開,多個國際執法部門表態,該團伙的消失與他們并無關系。
在對JBS和Kaseya的攻擊發生后,白宮向俄羅斯政府施壓,要求俄羅斯對據信在其境內活動的勒索軟件團伙采取行動。有人認為是俄羅斯政府授令REvil團伙關閉并消失,以示與美國合作的誠意。由于解密器是在REvil團伙消失后獲得的,因此極有可能是俄羅斯直接從勒索軟件團伙獲得了解密器,為了示好而共享給美國的執法部門。
當我們向聯邦調查局(FBI)詢問他們是否參與了解密密鑰的購買時,被告知他們不對正在進行的調查發表評論。
“司法部(DOJ)和聯邦調查局正在對REvil/Sodinokibi勒索軟件變種背后的犯罪集團以及對Kaseya實施勒索軟件攻擊的攻擊者進行刑事調查。”FBI告訴BleepingComputer,“根據司法部的政策,我們無法對這個正在進行的調查發表進一步聲明。”
REvil的消失可能并不代表這個團伙網絡活動的終結。過去,GandCrab勒索軟件在停止活動后以REvil的身份重新出現,這可能表明REvil可能也會換個名姓再次出現。
來源:安全客