Kaseya is in het bezit van de decryptiesleutel waarmee alle getroffen klanten hun data kunnen ontgrendelen. Het is voorlopig niet duidelijk hoe de fabrikant de sleutel kon bemachtigen.
Begin juli lanceerde Russisch hackerscollectief REvil zijn grootste aanval ooit. Het misbruikte een lek in Kaseya VSA om honderden tot duizenden bedrijven tegelijk te besmetten. Volgens Kaseya werden maar een vijftigtal klanten besmet met ransomware door het misbruik van een zero-daylek, maar 70 procent daarvan zijn managed services providers of MSP’s. Dat maakte de besmetting exponentieel groter.
De hackers vroegen een totale som van 70 miljoen dollar om alle slachtoffers opnieuw hun data te geven. Door de enorme omvang van de aanval keek de hele wereld naar REvil met de VS op de eerste rij. Plots verdween de hackersbende begin vorige week spoorloos van het internet. De kans bestaat erin dat de terugtrekking het gevolg is van een Amerikaanse actie.
Het is ook mogelijk dat de bende dergelijke heisa niet verwacht had en er nu voor kiest om zich schuil te houden. Daar is een precedent voor: nadat de aanval op Colonial Pipeline onverwachts globale media-aandacht met zich meebracht, verdween hackersgroep Darkside even van het internet.
Plotse beschikbaarheid sleutel
Nu komt de decryptiesleutel dus plots boven water. Kaseya meldt op zijn updatepagina dat het in samenwerking met securityspecialist Emsisoft de sleutel heeft bemachtigd en in contact staat met alle klanten om de data opnieuw te ontgrendelen. Aan welke voorwaarden Kaseya de sleutel heeft verkregen, is niet duidelijk.
Voor iedereen die Kaseya VSA draait, installeert bij voorkeur de nieuwste patches om het zero-daylek optimaal te dichten. De fabrikant lanceerde vorige week nog een patch om systemen opnieuw veiliger te maken en sinds deze week staat versie 9.5.7.3015 klaar voor SaaS-instances en on-premises gebruikers.