Kaseya obtiene la clave de descifrado common para los recientes ataques de ransomware REvil


Un portavoz de la compañía confirmó que la clave funciona pero no revelará la fuente, y solo dijo que provenía de un tercero de confianza.

kaseya-ransomware.jpg

Imagen: mundissima / Shutterstock

Afectada por un ciberataque severo a principios de este mes, la empresa empresarial de TI Kaseya dijo el jueves que obtuvo una clave de descifrado common para las víctimas recientes del ransomware REvil. Dana Liedholm, vicepresidente senior de marketing and advertising corporativo de Kaseya, dijo que la empresa obtuvo la clave el miércoles y que funciona. Liedholm no reveló ningún detalle sobre cómo o dónde se obtuvo, excepto para decir que proviene de un tercero de confianza.

VER: Ransomware: lo que los profesionales de TI deben saber (PDF gratuito) (TechRepublic)

En un actualización de su publicación en curso sobre el reciente ciberataque, Kaseya confirmó recibir la clave de descifrado. La compañía dijo que estaba trabajando para ayudar a las víctimas afectadas por el ataque de ransomware y que los representantes de Kaseya se pondrían en contacto con los clientes afectados por el incidente.

«Podemos confirmar que Kaseya obtuvo la herramienta de un tercero y tenemos equipos que ayudan activamente a los clientes afectados por el ransomware a restaurar sus entornos, sin informes de ningún problema o problemas asociados con el descifrador», dijo la compañía. «Kaseya está trabajando con Emsisoft para respaldar nuestros esfuerzos de participación del cliente, y Emsisoft ha confirmado que la clave es eficaz para desbloquear víctimas».

Erich Kron, defensor de la conciencia de seguridad en KnowBe4, calificó el desarrollo como una gran noticia para las víctimas del ataque, pero señaló que ya se había hecho mucho daño en términos de tiempo de inactividad y costos de recuperación. Aunque los datos pueden descifrarse, las organizaciones aún deben restaurar los archivos, así como sus sistemas y dispositivos.

«Incluso con el lanzamiento del descifrador universal, las organizaciones que tenían datos exfiltrados como parte de la infección de ransomware, una ocurrencia común con REvil y el ransomware moderno, todavía tienen que lidiar con el impacto de una violación de datos y todo lo que conlleva», dijo Kron. . «Para las industrias reguladas, esto podría ser muy costoso».

VER: El ataque de Kaseya muestra cómo el software package de terceros es el método de entrega perfecto para ransomware (TechRepublic)

El 3 de julio, Kaseya reveló que había sido afectado por un exitoso ataque de ransomware contra su producto VSA, un programa utilizado por los proveedores de servicios administrados para monitorear y administrar de forma remota los servicios de TI para sus clientes. Asumiendo la responsabilidad del incidente, el grupo de ransomware REvil logró el ataque explotando una vulnerabilidad de día cero en el programa VSA, entregando la carga útil maliciosa a través de una actualización de computer software falsa.

El ataque tuvo un efecto dominó en más de 1.000 organizaciones que utilizan el producto de Kaseya. A medida que el producto Kaseya VSA se vio comprometido, también lo fueron los servidores VSA de sus clientes. A través de esta reacción en cadena, REvil pudo infectar los sistemas y descifrar archivos de estos muchos clientes, reteniendo así los datos de todos ellos a cambio de un rescate.

En su propio «Blog feliz», REvil afirmó que más de 1 millón de sistemas estaban infectados, según la firma de seguridad Sophos. El grupo también presentó una oferta intrigante para todas las víctimas del ataque. A cambio de $ 70 millones en bitcoins, REvil publicaría un descifrador common que permitiría a todas las empresas afectadas recuperar sus archivos.

Una teoría all-natural es que Kaseya aceptó la oferta de REvil y desechó los $ 70 millones por la clave de descifrado. Sin embargo, la compañía dijo que la clave provino de un tercero confiable, que por definición eliminaría REvil. Y el estado de REvil en sí es ahora un misterio.

La semana pasada, el grupo de ransomware pareció desaparecer de la vista del público. Los sitios website oscuros de REvil se desconectaron repentinamente. Su Joyful Blog dejó de existir. Incluso la infraestructura a través de la cual las víctimas realizarían los pagos ya no era accesible.

Los analistas y expertos de la industria han especulado sobre la causa del acto de desaparición. Algunos creen que el grupo se mantiene bajo después de su reciente ola de ataques. Otros piensan que REvil puede haberse disuelto y que es probable que sus miembros resurjan en otros lugares. Y algunos se preguntan si el gobierno de EE. UU. U otras entidades podrían haber tomado represalias contra el grupo, obligándolo a salir de la pink.

VER: Ataque de Kaseya: en qué se parecen los ataques de ransomware a las nuevas empresas y qué debemos hacer al respecto (TechRepublic)

Mientras tanto, Kaseya sigue ocupada tratando de recuperarse del ataque. El 11 de julio, la compañía lanzó un parche para corregir el error de seguridad para todos los clientes locales de VSA. Desde entonces, Kaseya ha implementado más parches para eliminar errores adicionales y abordar los problemas de funcionalidad causados ​​por la seguridad mejorada implementada después del incidente. Pero la amenaza del ransomware sigue siendo tan fuerte como siempre.

«Esto debería usarse como una lección para las organizaciones de todos los tamaños, con suerte, lo que resultará en una mejor protección dentro de las organizaciones y los MSP por igual», dijo Kron.

«Siempre que una organización confía en entidades externas las llaves de su reino, están asumiendo un serio riesgo», agregó Kron. «Del mismo modo, cuando los MSP reciben este acceso, es imperativo que protejan agresivamente a sus clientes. Para las organizaciones que han sido derribadas por ransomware debido a la falta de copias de seguridad, o si sus copias de seguridad estaban encriptadas, dejándolas vulnerables, esta es una es un gran momento para tener discusiones duras con sus proveedores de servicios en un esfuerzo por eliminar la amenaza en el futuro «.

Ver también



Enlace a la noticia original