Aproximadamente tres semanas después de que el grupo de ransomware con sede en Rusia REvil atacara a Kaseya, la empresa de TI con sede en Florida obtuvo una clave de descifrado funcional para desbloquear archivos cifrados que pertenecen a cientos de víctimas, confirmó un portavoz a CyberScoop el jueves.
Dana Liedholm, vicepresidente senior de marketing de la empresa, se negó a comentar sobre la fuente de la clave, salvo para decir que proviene de un «tercero de confianza». También se negó a comentar cuando se le preguntó si la empresa había pagado para obtener la clave o si tardaría mucho en remediar a todos los clientes que habían sido afectados por el ataque.
La firma de seguridad Emisoft confirmó en una publicación de blog que el descifrador funciona y ha estado trabajando con los clientes para restaurar sus archivos.
La noticia de la herramienta de descifrado fue reportada por primera vez por Kevin Collier de NBC.
Kaseya ha estimado el número de empresas afectadas entre 800 y 1500. Las empresas privadas de ciberseguridad han sugerido una cifra más alta, ya que Huntress Labs estimó el número de víctimas en más de 2000. Sophos Labs identificó 145 víctimas en los Estados Unidos, incluidas agencias locales y estatales, gobiernos y pequeñas y medianas empresas.
Los piratas informáticos explotaron una plataforma de Kaseya que utilizan los proveedores de servicios administrados o empresas que brindan servicios de TI de terceros a otras organizaciones. Debido a que estas empresas tienen privilegios de administración con sus clientes, el número de víctimas se disparó rápidamente más allá de Kaseya y sus clientes directos.
Entre las víctimas se encuentran escuelas de Nueva Zelanda, la empresa textil internacional Miroglio Group, la cadena de supermercados sueca COOP y dos ciudades de Maryland .
Sin embargo, la herramienta puede llegar demasiado tarde para ayudar a algunas víctimas.
“Desde hace casi tres semanas, los proveedores de servicios gestionados y las pequeñas y medianas empresas han estado trabajando horas extra para recuperar y restaurar sistemas. Después de los esfuerzos de recuperación, una clave de descifrado universal habría ayudado a recuperar datos que no se restauraron correctamente ”, escribió John Hammond, investigador de seguridad senior de Huntress a CyberScoop en un correo electrónico. «Con las semanas que han pasado desde el comienzo de este incidente, tal vez este descifrador universal sea demasiado poco y demasiado tarde».
Huntress fue una de las primeras empresas en identificar el ataque.
El ataque, que ocurrió justo antes del fin de semana del 4 de julio, agitó las tensiones entre Washington y Rusia, que se sospecha que alberga a ciberdelincuentes. Rusia ha negado cualquier participación en el incidente.
La Casa Blanca no ha culpado formalmente del ataque a REvil , el mismo grupo detrás de una violación de mayo en el proveedor internacional de carne JBS .
Poco después de exigir un rescate de $ 70 millones de dólares a Kaseya, la presencia en línea del grupo se oscureció. Tanto Estados Unidos como Rusia niegan tener conocimiento de por qué el grupo se desconectó.
Kaseya lanzó el lunes una serie de parches para corregir la vulnerabilidad que los piratas informáticos habían utilizado para explotar su software.