一位發(fā)言人周四證實,,在俄羅斯勒索軟件組織REvil攻擊Kaseya大約三周后,這家總部位于佛羅里達(dá)州的IT公司獲得了一個有效的通用解密密鑰來解鎖上千名受害者的加密文件,。
該公司營銷高級副總裁Dana Liedholm拒絕對密鑰的來源發(fā)表評論,,只是說它來自“受信任的第三方”。當(dāng)被問及該公司是否已付費(fèi)獲得密鑰時,,她也拒絕發(fā)表評論,,只說修復(fù)所有受攻擊影響的客戶需要很長時間。
安全公司Emisoft在一篇博客文章中證實,,解密器可以工作,,并且一直在與客戶合作恢復(fù)他們的文件。解密工具的消息首先由NBC的Kevin Collier報道,。Kaseya估計受影響的公司數(shù)量在800到1500家之間,。私營網(wǎng)絡(luò)安全公司則暗示有更高的數(shù)字,Huntress Labs估計受害者公司接近2000家,。Sophos Labs在美國確定了145名受害者,,其中包括地方和州機(jī)構(gòu)、政府以及中小型企業(yè)。
黑客利用了托管服務(wù)提供商或向其他組織提供第三方IT服務(wù)的公司使用的 Kaseya平臺,。由于這些公司對其客戶擁有管理特權(quán),,因此受害者的數(shù)量迅速攀升至Kaseya及其直接客戶之外。受害者包括新西蘭學(xué)校,、國際紡織公司Miroglio Group,、瑞典連鎖雜貨店 COOP和馬里蘭州的兩個城鎮(zhèn)。
然而,,該工具可能來得太晚,,無法幫助一些受害者?!敖芤詠?,托管服務(wù)提供商和中小型企業(yè)一直在加班加點(diǎn)以恢復(fù)和恢復(fù)系統(tǒng)。Huntress的高級安全研究員 John Hammond在一封電子郵件中透露,,在恢復(fù)工作后,,通用解密密鑰將有助于檢索未正確恢復(fù)的數(shù)據(jù)?!弊赃@起事件發(fā)生以來已經(jīng)過去了幾個星期,,也許這個通用解密器來得太晚了?!癏untress是最早發(fā)現(xiàn)攻擊的公司之一,。這次襲擊發(fā)生在7月4日周末之前,激起了華盛頓和俄羅斯之間的緊張關(guān)系,,俄羅斯涉嫌窩藏網(wǎng)絡(luò)犯罪分子,。俄羅斯否認(rèn)與此事件有任何牽連。白宮還沒有正式將攻擊歸咎于 REvil,,這也是5月份國際肉類供應(yīng)商JBS事件的幕后黑手,。
在向Kaseya索要7000萬美元的贖金后不久,REvil組織的在線就徹底消失了:REvil勒索團(tuán)伙網(wǎng)站已神秘關(guān)閉,。俄羅斯均否認(rèn)了解REvil組織網(wǎng)站下線的原因,,美國昨日也表示沒有針對性操作,不知道REvil組織網(wǎng)站徹底下線原因也并未參與此次行動,。
尚不清楚 Kaseya 是否通過暗道談判向 REvil 團(tuán)伙支付贖金要求,,REvil 團(tuán)伙是否免費(fèi)提供解密器,或者解密器是否由安全公司或執(zhí)法機(jī)構(gòu)通過其他方式獲得,。
但據(jù)外媒信,,俄讓REvil勒索軟件團(tuán)伙關(guān)閉并消失,以表明他們正在與美國合作,。由于解密器是在REvil團(tuán)伙失蹤后獲得的,,因此俄可能直接從勒索軟件團(tuán)伙那里收到它,,并作為善意與美國執(zhí)法部門共享。
REvil的失蹤很可能并不是該團(tuán)伙在線活動的終結(jié),。過去GandCrab勒索軟件宣布關(guān)閉,,后更名為REvil,預(yù)計REvil將作為新的勒索軟件再次出現(xiàn)在江湖,。