我的位置 态势感知  >  安全态势

Kaseya噩梦结束,喜获价值7000万美元秘钥

来源:红数位 时间:2021-07-23 阅读次数:

一位发言人周四证实,在俄罗斯勒索软件组织REvil攻击Kaseya大约三周后,这家总部位于佛罗里达州的IT公司获得了一个有效的通用解密密钥来解锁上千名受害者的加密文件。

该公司营销高级副总裁Dana Liedholm拒绝对密钥的来源发表评论,只是说它来自“受信任的第三方”。当被问及该公司是否已付费获得密钥时,她也拒绝发表评论,只说修复所有受攻击影响的客户需要很长时间。

安全公司Emisoft在一篇博客文章中证实,解密器可以工作,并且一直在与客户合作恢复他们的文件。解密工具的消息首先由NBC的Kevin Collier报道。Kaseya估计受影响的公司数量在800到1500家之间。私营网络安全公司则暗示有更高的数字,Huntress Labs估计受害者公司接近2000家。Sophos Labs在美国确定了145名受害者,其中包括地方和州机构、政府以及中小型企业。

黑客利用了托管服务提供商或向其他组织提供第三方IT服务的公司使用的 Kaseya平台。由于这些公司对其客户拥有管理特权,因此受害者的数量迅速攀升至Kaseya及其直接客户之外。受害者包括新西兰学校、国际纺织公司Miroglio Group、瑞典连锁杂货店 COOP和马里兰州的两个城镇。

然而,该工具可能来得太晚,无法帮助一些受害者。“近三周以来,托管服务提供商和中小型企业一直在加班加点以恢复和恢复系统。Huntress的高级安全研究员 John Hammond在一封电子邮件中透露,在恢复工作后,通用解密密钥将有助于检索未正确恢复的数据。“自这起事件发生以来已经过去了几个星期,也许这个通用解密器来得太晚了。”Huntress是最早发现攻击的公司之一。这次袭击发生在7月4日周末之前,激起了华盛顿和俄罗斯之间的紧张关系,俄罗斯涉嫌窝藏网络犯罪分子。俄罗斯否认与此事件有任何牵连。白宫还没有正式将攻击归咎于 REvil,这也是5月份国际肉类供应商JBS事件的幕后黑手。

在向Kaseya索要7000万美元的赎金后不久,REvil组织的在线就彻底消失了:REvil勒索团伙网站已神秘关闭。俄罗斯均否认了解REvil组织网站下线的原因,美国昨日也表示没有针对性操作,不知道REvil组织网站彻底下线原因也并未参与此次行动。

尚不清楚 Kaseya 是否通过暗道谈判向 REvil 团伙支付赎金要求,REvil 团伙是否免费提供解密器,或者解密器是否由安全公司或执法机构通过其他方式获得。

但据外媒信,俄让REvil勒索软件团伙关闭并消失,以表明他们正在与美国合作。由于解密器是在REvil团伙失踪后获得的,因此俄可能直接从勒索软件团伙那里收到它,并作为善意与美国执法部门共享。

REvil的失踪很可能并不是该团伙在线活动的终结。过去GandCrab勒索软件宣布关闭,后更名为REvil,预计REvil将作为新的勒索软件再次出现在江湖。

 

 

原文来源:红数位

8条评论