Kaseya收到了一个能够免费让7月2号REvil勒索软件攻击的受害者恢复他们文件的通用解密器。
7月2号,REvil勒索软件利用Kaseya VSA远程管理应用的0day漏洞发动了大规模的攻击,对约60个管理服务提供商和约1500家企业进行了加密。在完成攻击后,勒索软件团伙开出价格:通用解密器需要7000万美元,解密所有受感染的托管服务提供商需要500万,解决一个受害者网络上扩展的加密需要4万美元。随后,REvil勒索软件团伙却神秘消失,也关闭了他们的支付网站和基础设施。当时大部分受害者还没有支付赎金,勒索软件团伙的消失也使得那些需要购买解密器的公司无法进行购买。
7月22日,Kaseya发出声明,他们从一个“受信任的第三方”收到了对应上次勒索攻击的通用解密器,现在也已经分发给了受到影响的顾客。
“我们确认解密器是从一个可靠的第三方渠道获取的,但无法透露更多有关来源的信息。”Kaseya的营销高级副总裁Dana Liedholm告诉BleepingComputer,“我们让另一个第三方验证了那个解密器,而后才开始把它交给受影响的顾客。”
尽管Kaseya并未透露密钥来源,但它们向BleepingComputer表示,被分发的确系此次攻击的通用解密密钥,能让所有托管服务提供商及其客户免费解密文件。当被问及是否支付了赎金才获得解密器时,Kaseya告诉BleepingComputer,他们“既不能承认,也无法否认”。
Emsisoft的CTO Fabian Wosar告诉BleepingComputer,他们是那个验证了密钥的第三方,同时他们也将继续协助Kaseya进行恢复工作。
“我们正在与Kaseya合作来支持他们的客户参与(CE)工作。我们已经验证了密钥可用于解锁受害者的文件,之后也将对Kaseya和它的客户们提供技术支持。”Wosar称。
REvil勒索软件团伙关站失踪的原因仍未解开,多个国际执法部门表态,该团伙的消失与他们并无关系。
在对JBS和Kaseya的攻击发生后,白宫向俄罗斯政府施压,要求俄罗斯对据信在其境内活动的勒索软件团伙采取行动。有人认为是俄罗斯政府授令REvil团伙关闭并消失,以示与美国合作的诚意。由于解密器是在REvil团伙消失后获得的,因此极有可能是俄罗斯直接从勒索软件团伙获得了解密器,为了示好而共享给美国的执法部门。
当我们向联邦调查局(FBI)询问他们是否参与了解密密钥的购买时,被告知他们不对正在进行的调查发表评论。
“司法部(DOJ)和联邦调查局正在对REvil/Sodinokibi勒索软件变种背后的犯罪集团以及对Kaseya实施勒索软件攻击的攻击者进行刑事调查。”FBI告诉BleepingComputer,“根据司法部的政策,我们无法对这个正在进行的调查发表进一步声明。”
REvil的消失可能并不代表这个团伙网络活动的终结。过去,GandCrab勒索软件在停止活动后以REvil的身份重新出现,这可能表明REvil可能也会换个名姓再次出现。
来源:安全客