Kaseya obtiene el descifrador universal para REvil ransomware - Calendae | Informática, Electrónica, CMS, Ciberseguridad

Kaseya obtiene el descifrador universal para REvil ransomware

Hola otra vez. Te habla Eduardo Arroyo y hoy hablaremos sobre Kaseya obtiene el descifrador universal para REvil ransomware

Kaseya obtiene el descifrador universal para REvil ransomware

El proveedor trabajará con los clientes afectados por la ola de ataques de ransomware a principios de julio para desbloquear los archivos; no está claro si se pagó el rescate.

Kaseya obtuvo una clave maestra de descifrado para el ransomware REvil que bloqueó los sistemas de al menos 60 de sus clientes en una ola de ataques cibernéticos en todo el mundo el 2 de julio.

Los ataques, que aprovecharon los días cero ahora fijados en la plataforma Kaseya Virtual System / Server Administrator (VSA), afectaron a los clientes de Kaseya en 22 países que utilizan la versión local de la plataforma, muchos de los cuales son proveedores de servicios administrados (MSP). .) que utilizan VSA para administrar las redes de otras empresas. Además de los 60 clientes directos, también se vieron afectados alrededor de 1.500 clientes posteriores a estos MSP.

Los clientes de Kaseya utilizan el software VSA para supervisar y gestionar de forma remota su software y su infraestructura de red.

A raíz de los ataques, la banda REvil (también conocida como Sodinokibi) ha exigido 70 millones de dólares por una clave pública universal de descifrado que repare a todas las víctimas afectadas, un precio que un investigador dijo finalmente se redujo a 50 millones de dólares.

A última hora de la tarde del jueves, el vendedor anunció a través de su aviso rodante sobre el incidente que había obtenido el descifrador «a través de un tercero». No está claro si realmente se pagó el rescate.

«Podemos confirmar que Kaseya ha obtenido la herramienta de un tercero y tiene equipos que ayudan activamente a los clientes afectados por el ransomware a restaurar sus entornos, sin informes de problemas o problemas asociados con el descifrador», dijo. «Kaseya está trabajando con Emsisoft para respaldar nuestros esfuerzos de participación del cliente y Emsisoft ha confirmado que la clave es eficaz para desbloquear a las víctimas … Los representantes de Kaseya se pondrán en contacto con los clientes que se hayan visto afectados por el ransomware».

Para profundizar el misterio está el hecho de que REvil como organización criminal se volvió negra el 13 de julio, cuando sus sitios desaparecieron y los representantes fueron excluidos de los principales foros clandestinos.

Threatpost se ha comunicado con Kaseya y Emsisoft para obtener más detalles y actualizará esta publicación con más información.

«La aparición repentina de esta clave universal sugiere que es posible que se haya pagado este rescate, aunque es probable que el rescate se haya negociado a un precio menor», dijo Ivan Righi, analista de inteligencia de amenazas cibernéticas de Digital Shadows. , dicho por correo electrónico.

Incluso si se ha adquirido la clave de descifrado principal, el ataque no debe considerarse terminado, advirtieron los investigadores. Por un lado, REvil es conocido por sus ataques de doble extorsión, en los que se roban datos corporativos y son atacados por ransomware.

«Es posible que el grupo todavía tenga copias de los datos robados a las víctimas», dijo Righi. «El grupo podría utilizar estos datos para extorsionar a las víctimas o subastar los datos, como lo ha hecho en el pasado en su sitio web Happy Blog».

Erich Kron, defensor de la conciencia de seguridad en KnowBe4, señaló que la reparación requerirá algo más que aplicar el mecanismo de desbloqueo a los archivos.

«Ya se ha hecho un daño significativo en términos de tiempo de inactividad y costos de restauración, tanto ahora como en el futuro», señaló por correo electrónico. “Incluso con datos descifrados, existen costos significativos asociados con la restauración de dispositivos y datos. El simple hecho de descifrar sus datos no soluciona los problemas que persisten, como las puertas traseras potencialmente instaladas que los atacantes podrían usar más adelante. Esto significa que todavía queda mucho trabajo por hacer «.

Tim Wade, director técnico del equipo de CTO de Vectra, dijo que puede haber otras sorpresas desagradables que las víctimas deben tener en cuenta después de los ataques.

«Desde la distancia, la aparición de una llave maestra puede parecer más reconfortante de lo que debería», advirtió. “El valor de acelerar la recuperación de datos y servicios no debe trivializarse, pero no borrará exactamente el ya alto costo de estos ataques. Y este es un costo incurrido tanto en términos de destrucción histórica, pero también dada la propensión de estos operadores criminales a dejar puertas traseras persistentes, la necesidad continua de reconstruir la infraestructura comprometida en un estado limpio y confiable. Entonces, sí, evadiendo la forma en que se pudo haber adquirido esta clave, podría tener algunos resultados positivos pero, como dicen, no termina hasta que se termina.

Si bien este ataque en particular fue de gran alcance y significativo, no es el primer ataque cibernético que afecta a los MSP y sus clientes intermedios este año. La banda de ransomware Clop, por ejemplo, persiguió el software FTA heredado de Accellion para transferencias de archivos en febrero; Varios clientes de Accellion FTA, incluido el bufete de abogados Jones Day, Kroger, Shell y Singtel, se vieron afectados.

Los incidentes indican una lección para organizaciones de todos los tamaños, anotaron los investigadores, cuando se trata del negocio de MSP.

«Siempre que una organización confía las llaves de su reino a entidades externas, corre un grave riesgo», dijo Kron. “Del mismo modo, cuando se concede este acceso a los MSP, es imperativo que protejan agresivamente a sus clientes. Para las organizaciones que han sido bloqueadas por ransomware debido a la falta de copias de seguridad, o si sus copias de seguridad se han cifrado, dejándolas vulnerables, este es un buen momento para hablar con sus proveedores de servicios en un esfuerzo por eliminar la amenaza en el futuro «.

.

Recuerda compartir en una historia de tu Instagram para que tus colegas opinen

??? ? ? ???

Comparte