Kaseya obtiene un descifrador maestro para ayudar a los clientes que aún sufren el ataque REvil

Primer plano de una llave de puerta blindada.

Kaseya, el vendedor de software de administración remota en el centro de una operación de ransomware que afectó hasta 1.500 redes descendentes, dijo que obtuvo un descifrador que debería restaurar con éxito los datos cifrados durante el ataque del fin de semana del 4 de julio.

Los afiliados de REvil, uno de los grupos de ransomware más despiadados de Internet, explotaron una vulnerabilidad crítica de día cero en el producto de administración remota VSA de Kaseya, con sede en Miami, Florida. La vulnerabilidad, que Kaseya estuvo a días de parchear, permitió a los operadores de ransomware comprometer las redes de unos 60 clientes. A partir de ahí, los extorsionistas infectaron hasta 1.500 redes que dependían de los 60 clientes para los servicios.

Finalmente, un descifrador universal

“Obtuvimos el descifrador ayer de un tercero de confianza y lo hemos estado utilizando con éxito en los clientes afectados”, escribió Dana Liedholm, vicepresidente senior de marketing corporativo, en un correo electrónico el jueves por la mañana. “Estamos brindando soporte técnico para usar el descifrador. Tenemos un equipo que se comunica con nuestros clientes y no tengo más detalles en este momento “.

En un mensaje privado, el analista de amenazas Brett Callow de la firma de seguridad Emsisoft dijo: “Estamos trabajando con Kaseya para respaldar sus esfuerzos de participación del cliente. Hemos confirmado que la clave es eficaz para desbloquear víctimas y continuaremos brindando apoyo a Kaseya y sus clientes “.

REvil había exigido hasta $ 70 millones por un descifrador universal que restauraría los datos de todas las organizaciones comprometidas en el ataque masivo. Liedholm se negó a decir si Kaseya pagó alguna suma a cambio de la herramienta de descifrado. Desde entonces, Kaseya ha parcheado el día cero utilizado en el ataque.

Por el momento, no se sabe públicamente si Kaseya pagó el rescate o lo recibió gratis de REvil, una agencia de aplicación de la ley o una empresa de seguridad privada.

En los días posteriores al ataque, el sitio de REvil en la web oscura, junto con otra infraestructura que el grupo usa para brindar soporte técnico y procesar pagos, de repente se desconectó. La salida inexplicable dejó a las víctimas e investigadores preocupados de que los datos permanecieran bloqueados para siempre, ya que las únicas personas con la capacidad de descifrarlos habían desaparecido.

¿De dónde vino?

REvil es uno de varios grupos de ransomware que se cree que operan desde Rusia u otro país de Europa del Este que antes formaba parte de la Unión Soviética. La desaparición del grupo se produjo unos días después de que el presidente Joe Biden advirtiera a su homólogo ruso, Vladimir Putin, que si Rusia no controlaba a esos grupos de ransomware, Estados Unidos podría tomar medidas unilaterales contra ellos.

Los observadores han especulado desde entonces que Putin presionó al grupo para que se callara o el grupo, sacudido por toda la atención que recibió del ataque, decidió hacerlo por su cuenta.

Algunas de las empresas víctimas del ataque incluyen la cadena de supermercados sueca. COOPERATIVA, Virginia Tech, dos ciudades de Maryland, Escuelas de Nueva Zelanda y la empresa textil internacional Miroglio Group.

REvil también está detrás de un ataque paralizante contra JBS, el mayor productor de carne del mundo. La violación provocó que JBS cerrara temporalmente algunas plantas.

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.