Beheer

Security
sleutel geven

Gratis decryptor voor REvil-ransomware Kaseya

Decryptor ontwikkeld "in samenwerking met vertrouwde wetshandhavingspartner".

© CC0 Public Domain Clker-Free-Vector-Images
16 september 2021

Decryptor ontwikkeld "in samenwerking met vertrouwde wetshandhavingspartner".

Slachtoffers van de beruchte REvil/Sodinokibi-ransomware krijgen een gratis manier aangeboden om hun gegijzelde gegevens te bevrijden. Securityleverancier BitDefender brengt nu een universele decryptor uit voor de gijzelsoftware die ook gebruikt is bij verstrekkende hack via beheersoftware van Kaseya.

De ontsleutelingstool die BitDefender aanbiedt is universeel, maar heeft wel een kleine beperking. Vanwege veranderingen in de ransomware werkt de gratis decryptor alleen voor data die zijn versleuteld vóór 13 juli dit jaar. Op die datum zijn de servers van de cybercriminelen achter de grote Kaseya-ransomwareaanval plots uit de lucht gehaald. Kort daarna heeft de gecompromitteerde leverancier van beheertools een decryptiesleutel ontvangen, van een onbekende partij.

Lopend onderzoek

BitDefender laat over de nu algemeen aangeboden decryptietool weten dat die is ontwikkeld "in samenwerking met een vertrouwde wetshandhavingspartner". De leverancier van securitysoftware doet daarbij geen mededelingen over de identiteit van die organisatie op politie-, justitie- of inlichtingengebied.

Wel merkt BitDefender op dat het in deze zaak gaat om een lopend onderzoek, waardoor het geen commentaar kan geven op details hierover. Niet totdat het daarvoor toestemming heeft gekregen van de leidende organisatie in het onderzoek. "Beide partijen menen dat het belangrijk is om de universele decryptor uit te brengen voordat het onderzoek is afgerond, om zoveel mogelijk slachtoffers te helpen", verklaart BitDefender in een nu uitgestuurd persbericht.

Betaling kon niet meer

Het offline halen van de ransomwareservers van de Kaseya-hackers heeft er namelijk voor gezorgd dat sommige gegijzelde organisaties klem zaten. Bedrijven en overheidsinstanties die via de beheersoftware ransomware binnen hadden gekregen, en niet vóór 13 juli hadden betaald, verloren met het offline halen de mogelijkheid om langs die weg hun data te ontsleutelen. Volgens Kaseya zijn 800 tot 1.500 bedrijven geraakt door de massale ransomwaredistributie via zijn beheersoftware. Security-experts betwisten deze aantallen, deze zouden veel te laag zijn.

BitDefender maakt in zijn persbericht geen gewag van Kaseya, maar noemt wel de recente REvil-actie waarbij een bedrijf is gegijzeld en een losgeldeis van 70 miljoen dollar is neergelegd. Die som komt overeen met het recordbedrag dat begin juli aan Kaseya is voorgelegd in ruil voor een decryptiesleutel plus de belofte om versleutelde en buitgemaakte data niet te openbaren. Kaseya heeft verklaard dat het níet is ingegaan op dit aanbod.

'Nieuwe aanvallen komen'

De gebruikte gijzelingssoftware REvil werkt volgens een SaaS-principe waarbij de ransomware als service wordt aangeboden aan diverse cybercriminele groepen. Deze werken dan als affiliates en kunnen elk hun eigen werkterrein, doelgroepen en prijsniveaus hebben. BitDefender waarschuwt nu dat er nieuwe aanvallen op handen zijn, aangezien de REvil-groep na een hiatus van twee maanden ineens weer is opgedoken.

Lees meer over Beheer OP AG Intelligence
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.