Kaseya confirma ter obtido chave de descriptografia universal

Após sofrer um ataque de ransomware crítico no início do mês, a Kaseya, empresa de TI, disse que conseguiu uma chave universal de descriptografia que pode ajudar vítimas do incidente. Além disso, a companhia afirmou que está comprometida em ajudar outras vítimas do REvil e que os clientes afetados pelo incidente serão contatados pelos representantes da Kaseya, segundo informações do site TechRepublic.

Dana Liedholm, vice-presidente sênior de Marketing Corporativo da Kaseya, disse que a empresa obteve a chave na quarta-feira e que ela funciona. Liedholm não revelou quaisquer detalhes sobre como ou onde a chave foi obtida, porém, afirmou que veio de um terceiro confiável.

“Podemos confirmar que a Kaseya obteve a ferramenta de um terceiro e temos equipes ajudando ativamente os clientes afetados pelo ransomware a restaurar seus ambientes, sem relatos de qualquer problema ou problemas associados ao descriptografador”, disse a empresa. “A Kaseya está trabalhando com a Emsisoft para apoiar nossos esforços de engajamento do cliente, e a Emsisoft confirmou que a chave é eficaz para desbloquear as vítimas”.

Ivan Righi, analista de Inteligência de Ameaças Cibernéticas da Digital Shadows, disse ao TechRepublic que a aparição súbita da chave universal de descriptografia sugere que ela tenha sido comprada, no entanto, muito provável que o resgate tenha sido negociado por um preço mais baixo.

Erich Kron, defensor da conscientização de segurança na KnowBe4, classificou o desenvolvimento como uma ótima notícia para as vítimas do ataque, disse a publicação, mas destacou que muitos danos já haviam sido causados em termos de tempo de inatividade e custos de recuperação.

“Mesmo com o lançamento do descriptografador universal, as organizações que tiveram dados exfiltrados como parte da infecção de ransomware, uma ocorrência comum com REvil e ransomware moderno, ainda têm que lidar com o impacto de uma violação de dados e tudo o que isso acarreta”, disse Kron. “Para setores regulamentados, isso pode ser muito caro”.

A Kaseya e mais de mil organizações que usam o VSA, programa da empresa de TI usado por provedores de serviços gerenciados para monitorar e administrar remotamente serviços de TI para seus clientes, foram atacadas no início de julho. O grupo REvil ransomware assumiu a autoria do ataque, no qual explorou uma vulnerabilidade de dia zero no programa VSA, entregando a carga maliciosa por meio de uma atualização de software falsa, causando uma reação em cadeia.

O grupo REvil afirmou em postagem no seu blog que mais de 1 milhão de sistemas foram infectados, de acordo com a empresa de segurança Sophos. Segundo a reportagem, o grupo ofertou às vítimas um descriptografador universal que permitiria a todas as empresas afetadas recuperar seus arquivos, em troca de US$ 70 milhões em bitcoin.

No entanto, a Kaseya afirma que a chave veio de um terceiro confiável, o que, por definição, eliminaria o REvil.

Desde o ataque, a Kaseya continua lidando com os danos. Em 11 de julho, a empresa lançou um patch para corrigir o bug de segurança para todos os clientes locais do VSA. Desde então, a Kaseya implantou mais patches para eliminar bugs adicionais e resolver problemas de funcionalidade causados pela segurança aprimorada implementada após o incidente.

Por sua vez, o grupo de ransomware desapareceu da vista do público, na semana passada. Os sites do REvil na Dark Web, repentinamente, ficaram off-line. Seu blog, Happy Blog, deixou de existir. Mesmo a infraestrutura por meio da qual as vítimas fariam os pagamentos não estava mais acessível, disse o site.

“Embora a chave mestra de descriptografia tenha sido adquirida, o ataque não deve ser considerado encerrado”, advertiu Righi. “REvil é um grupo conhecido por exfiltrar dados das vítimas. Portanto, o grupo ainda pode ter cópias dos dados roubados das vítimas. O grupo poderia usar esses dados para extorquir vítimas ou leiloar os dados, como fazia no passado em seu site Happy Blog. No entanto, as atividades atuais do grupo são desconhecidas desde que desapareceu em 13 de julho de 2021, quando seus sites desapareceram e representantes foram banidos de fóruns importantes”.

Para Kron, a experiência da Kaseya deve ser usada como lição para organizações de todos os tamanhos.

“Sempre que uma organização confia a entidades externas as chaves de seu reino, ela corre um sério risco”, acrescentou Kron. “Da mesma forma, quando os MSPs recebem esse acesso, é imperativo que protejam agressivamente seus clientes. Para organizações que foram derrubadas por ransomware devido à falta de backups, ou se seus backups foram criptografados, deixando-os vulneráveis, isso é um ótimo momento para ter algumas discussões difíceis com seus provedores de serviço em um esforço para eliminar a ameaça no futuro”.