Разработчик ПО Kaseya получил ключ-дешифровщик без выплаты выкупа хакерам
Американский разработчик ПО Kaseya получил «универсальный ключ-дешифровщик» для файлов, затронутых атакой вируса-вымогателя хакерской группировки REvil. Компания утверждает, что не платила злоумышленникам выкуп, а ключ ей предоставила «доверенная третья сторона».
2 июля специалисты Kaseya рекомендовали своим клиентам отключить ПО из-за возможной атаки, которую впоследствии подтвердили. Позже на сайте REvil появилось требование выкупа на сумму $70 млн в биткоинах за дешифровку файлов всех жертв.
22 июля, спустя 19 дней после первого заражения, компания получила ключ-дешифровщик от «доверенной третьей стороны», сообщил журналист NBC News Кевин Коллиер со ссылкой на представителя Kaseya. По его информации, в результате атаки пострадали около 1500 организаций.
News: Kaseya, the patient zero company for REvil's 1,500-company 4th of July ransomware spree, finally obtained a REvil decryptor key yesterday. 19 days after it was first infected.
— Kevin Collier (@kevincollier) July 22, 2021
Got it from "a trusted third party," a spox says. Company is working to remediate customers now.
Эффективность полученного ключа Коллиеру подтвердила ориентированная на кибербезопасность компания Emisoft, которая сотрудничает с Kaseya.
Согласно опубликованному 26 июля заявлению, разработчик ПО совместно с Emisoft предоставляет дешифратор пострадавшим клиентам по запросу. Компания подчеркнула, что ключ «доказал 100% эффективность при расшифровке файлов, которые были полностью закодированы в ходе атаки».
«После консультаций с экспертами Kaseya решила не вступать в переговоры с совершившими эту атаку преступниками […]. Таким образом, мы со всей определенностью подтверждаем, что компания не платила выкуп — ни прямо, ни косвенно через третьих лиц — за получение дешифратора», — говорится в заявлении.
Коллиер предположил, что к этому приложили руку власти США или РФ. Он также обратил внимание, что Emisoft имеет лишь опосредованное отношение к расшифровке файлов, предоставляя клиентам ключ, полученный от Kaseya.
To be clear, Emsisoft — the company that built the software that uses this key to clean up victims from that last REvil spree — did not provide Kaseya with the key. It's the other way around.
— Kevin Collier (@kevincollier) July 26, 2021
Ранее даркнет-сайты REvil внезапно ушли в офлайн. В числе отключенных ресурсов оказались Happy Blog, используемый для публикации данных о жертвах, а также порталы для обсуждения суммы выкупа и приема платежей.
Это произошло после телефонного разговора между президентами США и России. Джо Байден потребовал от Владимира Путина пресечь совершаемые с территории РФ атаки вирусов-вымогателей на американские компании. Позже Байден утвердительно ответил на вопрос о возможности отключения хакерских серверов со стороны США.
По данным Ransomwhere, на связанные с шифровальщиками адреса поступило более $45 млн в криптовалюте. Группировка REvil является одним из крупнейших операторов вирусов — жертвы перевели в ее пользу более $12 млн.
Напомним, для борьбы с угрозой вирусов-вымогателей администрация Байдена намерена отслеживать выплачиваемые жертвами атак выкупы, согласно Bloomberg. Белый Дом якобы создал рабочую группу по шифровальщикам.
Читайте биткоин-новости ForkLog в нашем Telegram — новости криптовалют, курсы и аналитика.
Рассылки ForkLog: держите руку на пульсе биткоин-индустрии!