Kaseya 獲得了用于 REvil 勒索軟件攻擊的通用解密器

本月初，由進行了大規模的供應鏈攻擊雷維爾勒索團伙 命中 基于云的管理平臺服務提供商卡西亞，利用其VSA軟件和他們的客戶既影響其他MSPS。

MSP 使用 VSA 工具為其客戶執行補丁管理和客戶端監控。與其他供應鏈攻擊一樣，REvil 勒索軟件運營商最初破壞了 Kaseya VSA 的基礎設施，然后為 VSA 本地服務器推送惡意更新以感染企業網絡。

對于初始攻擊向量，REvil 運營商利用 Kaseya VSA 服務器 Web 界面中的身份驗證繞過零日漏洞 (CVE-2021-30116) 來獲得經過身份驗證的會話。然后，攻擊者上傳有效載荷并通過 SQL 注入執行命令以部署惡意更新。勒索軟件運營商最初向此次活動中受感染的系統所有者詢問了價值 44,999 美元的比特幣。后來，他們改變策略，要求所有受害者支付 7000 萬美元的巨額贖金。

Kaseya 現在宣布收到了一個通用解密器，允許勒索軟件攻擊的受害者免費恢復他們的文件。

Kaseya 現在宣布已收到受信任的第三方提供的通用解密器，允許勒索軟件攻擊的受害者免費恢復他們的文件。

該軟件公司對該工具進行了測試，并驗證其成功恢復了使用 REvil 勒索軟件加密的文件，現在該公司正在向其客戶提供該工具，以幫助他們恢復加密系統。

該公司證實，只有不到 60 名客戶和不到 1,500 家企業受到此次攻擊的影響。

“雖然影響了 Kaseya 的大約 50 名客戶，但這次攻擊從來都不是威脅，也沒有對關鍵基礎設施產生任何影響。Kaseya 的許多客戶都是托管服務提供商，他們使用 Kaseya 的技術為員工少于 30 人的本地和小型企業管理 IT 基礎設施，例如牙醫辦公室、小型會計辦公室和當地餐館。在 Kaseya 客戶管理的大約 800,000 到 1,000,000 家本地和小型企業中，只有大約 800 到 1,500 家受到了威脅。” 閱讀 公司發布的 聲明。

由于 Kaseya 的大多數客戶都是托管服務提供商，即為自己的客戶提供 IT 支持的公司，Kaseya 表示，根據其估計，在 7 月 2 日的攻擊中受影響的公司數量很可能在 800 到 1,500 之間。

據 BleepingComputer 報道，從 7 月 13 日晚上開始，REvil 勒索軟件團伙使用的基礎設施和網站神秘地無法訪問。

“REvil 勒索軟件操作，又名 Sodinokibi，通過許多用作贖金談判站點、勒索軟件數據泄漏站點和后端基礎設施的明網和暗網站點運行。” 報告 BleepingComputer。“從昨晚開始，REvil 勒索軟件操作使用的網站和基礎設施神秘關閉。”

Tor 泄漏站點、支付網站“decoder[.]re”及其后端基礎設施同時下線。

現在通用解密器的可用性成為頭條新聞，但該公司沒有透露是否在支付贖金后獲得了該工具。

我們不能排除 REvil 運營商為了規避當局和執法部門的壓力而免費發布了解密器。