Kaseya erhält Universal Decryptor für REvil Ransomware

  • Der Anbieter wird mit Kunden zusammenarbeiten, die von der Ransomware-Attacke Anfang Juli betroffen waren, um Dateien zu entsperren; es ist unklar, ob das Lösegeld gezahlt wurde.

    Kaseya hat einen Master-Entschlüsselungsschlüssel für die Ransomware REvil erhalten, die am 2. Juli in einer Welle weltweiter Cyberangriffe die Systeme von mindestens 60 seiner Kunden blockierte.

    Die Angriffe, die inzwischen gepatchte Zero-Days in der Kaseya Virtual System/Server Administrator (VSA)-Plattform ausnutzten, betrafen Kaseya Kunden in 22 Ländern, die die On-Premises-Version der Plattform nutzen – viele davon sind Managed Service Provider (MSPs), die VSA zur Verwaltung der Netzwerke anderer Unternehmen einsetzen. Zusätzlich zu den 60 direkten Kunden waren auch rund 1.500 nachgelagerte MSP-Kunden betroffen.

    Die VSA-Software wird von Kaseya Kunden zur Fernüberwachung und -verwaltung von Software- und Netzwerkinfrastrukturen eingesetzt.

    Im Zuge der Angriffe forderte die REvil-Bande (auch bekannt als Sodinokibi) 70 Millionen Dollar für einen universellen öffentlichen Entschlüsselungsschlüssel, der alle betroffenen Opfer wiederherstellt – ein Preis, der laut einem Forscher schließlich auf 50 Millionen Dollar gesenkt wurde.

    Am späten Donnerstagnachmittag verkündete der Anbieter über sein Rolling Advisory zu dem Vorfall, dass er den Entschlüsselungsschlüssel “durch eine dritte Partei” erhalten habe. Es ist unklar, ob das Lösegeld tatsächlich gezahlt wurde.

    “Wir können bestätigen, dass Kaseya das Tool von einer Drittpartei erhalten hat und Teams hat, die den von der Ransomware betroffenen Kunden aktiv bei der Wiederherstellung ihrer Umgebungen helfen, wobei es keine Berichte über Probleme oder Probleme im Zusammenhang mit dem Entschlüsselungsprogramm gibt”, hieß es. “Kaseya arbeitet mit Emsisoft zusammen, um unsere Kunden zu unterstützen, und Emsisoft hat bestätigt, dass der Schlüssel wirksam ist, um die Opfer zu entschlüsseln…Kunden, die von der Ransomware betroffen sind, werden von Kaseya-Vertretern kontaktiert.”

    Das Rätsel wird noch dadurch vertieft, dass REvil als kriminelle Organisation am 13. Juli untergetaucht ist, als ihre Websites verschwanden und Vertreter in prominenten Untergrundforen gesperrt wurden.

    Threatpost hat sowohl Kaseya als auch Emsisoft um weitere Details gebeten und wird diesen Beitrag mit zusätzlichen Informationen aktualisieren.

    “Das plötzliche Auftauchen dieses Universalschlüssels deutet darauf hin, dass es möglich ist, dass dieses Lösegeld bezahlt wurde, obwohl es wahrscheinlich ist, dass das Lösegeld auf einen niedrigeren Preis ausgehandelt wurde”, sagte Ivan Righi, Cyber-Bedrohungsanalyst bei Digital Shadows, per E-Mail.

    Trotz Entschlüsselung ist der Alptraum noch nicht vorbei

    Auch wenn der Master-Entschlüsselungsschlüssel erworben wurde, sollte der Angriff nicht als beendet betrachtet werden, warnten die Forscher. Zum einen ist REvil für seine Double-Extortion-Angriffe bekannt, bei denen neben der Ransomware auch Unternehmensdaten gestohlen werden.

    “Die Gruppe könnte immer noch Kopien der von den Opfern gestohlenen Daten haben”, sagte Righi. “Die Gruppe könnte diese Daten verwenden, um Opfer zu erpressen oder die Daten zu versteigern, wie sie es in der Vergangenheit auf ihrer Website Happy Blog getan hat.”

    Erich Kron, Security Awareness Advocate bei KnowBe4, merkte an, dass zur Behebung des Problems mehr nötig sein wird, als nur den Entsperrungsmechanismus auf Dateien anzuwenden.

    “Es ist bereits ein beträchtlicher Schaden in Form von Ausfallzeiten und Wiederherstellungskosten entstanden, sowohl aktuell als auch in Zukunft”, bemerkte er per E-Mail. “Selbst wenn die Daten entschlüsselt sind, sind mit der Wiederherstellung von Geräten und Daten erhebliche Kosten verbunden. Das einfache Entschlüsseln der Daten löst nicht die verbleibenden Probleme, wie z. B. potenziell installierte Hintertüren, die Angreifer zu einem späteren Zeitpunkt nutzen könnten. Es liegt also noch eine Menge Arbeit vor uns.”

    Tim Wade, technischer Leiter im CTO-Team von Vectra, sagte, dass es nach den Angriffen noch weitere böse Überraschungen für die Opfer geben könnte, auf die sie aufpassen müssen.

    “Aus der Ferne mag das Auftauchen eines Generalschlüssels beruhigender erscheinen, als es sein sollte”, warnte er. “Der Wert der beschleunigten Wiederherstellung von Daten und Diensten sollte nicht bagatellisiert werden, aber er wird die bereits umfangreichen Kosten dieser Angriffe nicht gerade auslöschen. Und das sind Kosten, die sowohl durch die historische Unterbrechung als auch durch die Neigung dieser kriminellen Betreiber, Hintertüren zu hinterlassen, getragen werden, da die kompromittierte Infrastruktur wieder in einen sauberen, vertrauenswürdigen Zustand versetzt werden muss. Also ja, unabhängig davon, wie dieser Schlüssel erworben wurde, kann es einige positive Auswirkungen haben, aber wie man sagt – es ist nicht vorbei, bis es vorbei ist.”

    Supply-Chain-Angriffe auf MSPs Snowball

    Während dieser spezielle Angriff weitreichend und signifikant war, ist es nicht die erste Cyberattacke, die MSPs und ihre Downstream-Kunden in diesem Jahr betrifft. Die Clop-Ransomware-Bande hatte es beispielsweise im Februar auf die Legacy-FTA-Software von Accellion für Dateiübertragungen abgesehen; mehrere Accellion-FTA-Kunden, darunter die Anwaltskanzlei Jones Day, Kroger, Shell und Singtel, waren betroffen.

    Die Vorfälle weisen auf eine Lektion für Unternehmen aller Größen hin, so die Forscher, wenn es um das MSP-Business geht.

    “Wann immer eine Organisation externen Entitäten die Schlüssel zu ihrem Reich anvertraut, geht sie ein ernsthaftes Risiko ein”, so Kron. “Wenn MSPs diesen Zugang erhalten, müssen sie ihre Kunden unbedingt aggressiv schützen. Für Unternehmen, die aufgrund fehlender Backups durch Ransomware zum Absturz gebracht wurden oder deren Backups verschlüsselt wurden und sie somit angreifbar sind, ist dies ein guter Zeitpunkt, um mit ihren Dienstleistern harte Diskussionen zu führen, um die Bedrohung in Zukunft zu beseitigen.”

    Schauen Sie sich unsere kommenden kostenlosen Live- und On-Demand-Webinar-Veranstaltungen an – einzigartige, dynamische Diskussionen mit Cybersicherheitsexperten und der Threatpost-Community.

    Einige Teile dieses Artikels stammen aus:
    threatpost.com