Kaseya Ransomware Saga eindigt in mysterieuze omstandigheden

Kaseya, de cloudprovider in het midden van een reus Ransomware-aanval Bij honderden bedrijven kondigde het deze week goed nieuws aan: op de een of andere manier kreeg het een “globale decodering” om alle gegevens te ontgrendelen die door de recente hack waren aangetast.

“We kunnen bevestigen dat Kaseya de tool van een derde partij heeft verkregen en dat teams actief zijn die door ransomware getroffen klanten helpen hun omgeving te herstellen, zonder meldingen van problemen of problemen die verband houden met de decoderingstool”, aldus het bedrijf in een verklaring. Zet de verklaring donderdag.

De vraag blijft echter: waar komt dit decoderingsprogramma vandaan?

Ter beoordeling: het bedrijf werd in het weekend van 4 juli en Russisch sprekend getroffen door ransomware REvil Cybercriminele bende Later eiste hij de verantwoordelijkheid voor de aanslag op. De aanval trof niet alleen Kaseya, maar ook haar klantenbestand, dat op zijn beurt de klanten van de klant besmette en uiteindelijk ongeveer 1.500 bedrijven over de hele wereld trof.

Vervolgens eiste REvil $ 70 miljoen voor een wereldwijde decoderingssleutel om alle gegevens van slachtoffers te ontgrendelen.

In een verrassende wending begon de bende er echter aan verdwijnen van het web. In feite, minder dan twee weken nadat REvil het losgeld eiste, zijn bijna alle sporen van de groep cybercriminelen van internet verdwenen, inclusief de website en betalingsgateway.

Op de een of andere manier zegt Kaseya dat ze de openbare decoderingssleutel kon krijgen, hoewel ze niet expliciet zegt hoe dat gebeurde.

Op de vraag van Gizmodo waar de sleutel vandaan kwam, herhaalde een woordvoerder van Kaseya dat deze afkomstig was van een “vertrouwde derde partij”. Op de vraag of het bedrijf de sleutel heeft betaald, zei de woordvoerder dat het bedrijf geen “commentaar kon geven op uw vraag over de betaling”.

Zelfs als het bedrijf het enorme losgeld heeft betaald, is het niet helemaal duidelijk hoe of wanneer de uitwisseling plaatsvond – aangezien REvil sindsdien is “verdwenen”. Er doen echter twee theorieën de ronde over wat er mogelijk is gebeurd.

Sommige deskundigen hebben zich afgevraagd of de Russische regering “de sleutel misschien van criminelen heeft afgepakt en via tussenpersonen heeft overhandigd”. The Guardian schrijft. Dit lijkt redelijk, omdat we weten dat een incident met Cassie aanzienlijke politieke spanningen heeft veroorzaakt tussen het Witte Huis en het Kremlin. President Joe Biden Hij had naar verluidt een kort gesprek Met Vladimir Poetin niet lang na de Cassia-aanval, waarin hij de Russische leider vroeg om primair verantwoordelijkheid te nemen voor cybercriminelen die binnen de grenzen van zijn land opereren.

Een ander hypothetisch scenario zou kunnen zijn dat Kaseya het losgeld al heel vroeg in het afpersingsproces betaalde, waardoor het geld werd ingewisseld voor de sleutel. Dit kan verklaren waarom REvil sindsdien is verdwenen. Dat wil zeggen, als je hebt bereikt wat je van plan was te doen, waarom zou je dan niet het geld nemen en wegrennen?

Over het algemeen is het een andere ietwat obscure oplossing voor een grootschalige ransomware-aanval – een trend die steeds vaker voorkomt. Een soortgelijke mysterieuze climax vond plaats begin juni, toen de FBI aankondigde dat het op de een of andere manier was gelukt أنهأنه volgen en grijpen Het grootste deel van het losgeld dat aan de DarkSide-bende is betaald na de aanval op de koloniale pijpleiding. De FBI heeft hun methoden nooit onthuld, en net als bij REvil, DarkSide bleef “in het donker gaan” Rond dezelfde tijd nam de FBI zijn geld af.