Supply chain di Kaseya: c'è il decryptor universale

Kaseya è in possesso di un decryptor universale per sbloccare i dati di tutti i clienti coinvolti nell'attacco alla sua supply chain.

Business
A tre settimane dall'attacco alla supply chain di Kaseya, il produttore statunitense ha ottenuto un decryptor universale che permette a tutti i suoi clienti di sbloccare i sistemi crittografati e recuperare i propri dati. Nella nota ufficiale diffusa dall'azienda si legge che "Kaseya ha ottenuto da una terza parte un decryptor per le vittime dell'attacco ransomware REvil […] e ha messo a disposizione un team di supporto per aiutare i clienti colpiti dal ransomware a ripristinare i propri ambienti".

Al momento non è chiaro lo scenario che ha portato a questo sviluppo. Le ipotesi sul piatto sono almeno due. La prima è che l'azienda abbia contrattato il pagamento del riscatto con i criminali informatici. Stando alle fonti d'oltreoceano, l'ammontare che era stato richiesto era di 70 milioni di dollari, successivamente abbassato a 50 milioni. È bene sottolineare che non ci sono conferme del pagamento di un riscatto.

Quello che è certo è che poco dopo l'attacco a Kaseya, sono andati offline di siti usati dal gruppo REvil per pubblicare i dati rubati alle vittime. Sulla questione gli esperti di sicurezza informatica hanno a lungo dibattuto, senza giungere a una conclusione. Dato che non ci sono notizie di un'azione delle forze dell'ordine contro il gruppo REvil, una ipotetica uscita di scena (tutta da confermare) sarebbe stata una scelta dei criminali, per motivi che restano al momento oscuri.
decryptorNel tempo sono stati molti i gruppi ransomware che si sono sciolti. Pensiamo per esempio al più recente annuncio di dismissione delle attività di Avaddon, che per l'occasione ha anche pubblicato in rete le chiavi di decodifica per sbloccare i file delle vittime. REvil non ha fatto un'azione di questo tipo, ma se avesse chiuso non è da escludere che possa essere la "terza parte" che ha consegnato il decryptor a Kaseya.

Resta una terza opzione, ma improbabile. Ossia che un'azienda di cyber security, grazie a un'opera certosina di reverse engineering, sia riuscita a creare il decryptor per sbloccare i dati. È accaduto in passato, ma in questi casi l'autore del decryptor è sempre stato ampiamente pubblicizzato per ovvie ragioni di marketing. Nel caso di Kaseya è noto che l'azienda aveva chiesto l'aiuto di un gruppo di servizi di sicurezza di nome Emsisoft per aiutare i suoi clienti a ripulire i loro sistemi dal malware, ma non risultano accenni al decryptor.

Che cosa accade ora


L'esistenza del decryptor, quale che sia la sua provenienza, apre uno scenario fortemente positivo. I clienti di Kaseya vittime dell'attacco (circa 60 secondo i dati aggiornati) potranno ripristinare i propri dati con l'assistenza del team di supporto doverosamente messo a disposizione dal produttore.

Comunque dovranno installare le patch che sono state realizzate nel frattempo dal produttore statunitense, compreso il Quick Fix Engineering pubblicato il 22 luglio, che risolve fra le altre cose un problema di sicurezza.

Aggiornamento: Kaseya ha dichiarato di non avere pagato gli attaccanti per ottenere il decryptor. Nella dichiarazione ufficiale si legge che "ogni azienda deve prendere la propria decisione sull'opportunità o meno di pagare il riscatto. Kaseya ha deciso, dopo aver consultato gli esperti, di non negoziare con i criminali che hanno perpetrato questo attacco e abbiamo mantenuto l'impegno. Confermiamo senza mezzi termini che Kaseya non ha pagato un riscatto - né direttamente né indirettamente attraverso una terza parte - per ottenere il decryptor."
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di SecurityOpenLab.it iscriviti alla nostra Newsletter gratuita.

Notizie correlate

Speciali Tutti gli speciali

Speciale sicurezza mobile

Speciale

Proteggere il nuovo smart working

Speciale

Sicurezza cloud native

Speciale

Backup e protezione dei dati

Speciale

Speciale video sorveglianza

Calendario Tutto

Set 30
Webinar Kaspersky - Guai con i ransomware? Volete essere flessibili ma al riparo da attacchi informatici?
Ott 05
VMworld 5-7 ottobre 2021
Ott 12
Webinar Zyxel - Uffici “ibridi” e modalità di lavoro “fluida"

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter

contatori