Kaseya 获得了用于 REvil 勒索软件攻击的通用解密器

本月初，由进行了大规模的供应链攻击雷维尔勒索团伙 命中 基于云的管理平台服务提供商卡西亚，利用其VSA软件和他们的客户既影响其他MSPS。

MSP 使用 VSA 工具为其客户执行补丁管理和客户端监控。与其他供应链攻击一样，REvil 勒索软件运营商最初破坏了 Kaseya VSA 的基础设施，然后为 VSA 本地服务器推送恶意更新以感染企业网络。

对于初始攻击向量，REvil 运营商利用 Kaseya VSA 服务器 Web 界面中的身份验证绕过零日漏洞 (CVE-2021-30116) 来获得经过身份验证的会话。然后，攻击者上传有效载荷并通过 SQL 注入执行命令以部署恶意更新。勒索软件运营商最初向此次活动中受感染的系统所有者询问了价值 44,999 美元的比特币。后来，他们改变策略，要求所有受害者支付 7000 万美元的巨额赎金。

Kaseya 现在宣布收到了一个通用解密器，允许勒索软件攻击的受害者免费恢复他们的文件。

Kaseya 现在宣布已收到受信任的第三方提供的通用解密器，允许勒索软件攻击的受害者免费恢复他们的文件。

该软件公司对该工具进行了测试，并验证其成功恢复了使用 REvil 勒索软件加密的文件，现在该公司正在向其客户提供该工具，以帮助他们恢复加密系统。

该公司证实，只有不到 60 名客户和不到 1,500 家企业受到此次攻击的影响。

“虽然影响了 Kaseya 的大约 50 名客户，但这次攻击从来都不是威胁，也没有对关键基础设施产生任何影响。Kaseya 的许多客户都是托管服务提供商，他们使用 Kaseya 的技术为员工少于 30 人的本地和小型企业管理 IT 基础设施，例如牙医办公室、小型会计办公室和当地餐馆。在 Kaseya 客户管理的大约 800,000 到 1,000,000 家本地和小型企业中，只有大约 800 到 1,500 家受到了威胁。” 阅读 公司发布的 声明。

由于 Kaseya 的大多数客户都是托管服务提供商，即为自己的客户提供 IT 支持的公司，Kaseya 表示，根据其估计，在 7 月 2 日的攻击中受影响的公司数量很可能在 800 到 1,500 之间。

据 BleepingComputer 报道，从 7 月 13 日晚上开始，REvil 勒索软件团伙使用的基础设施和网站神秘地无法访问。

“REvil 勒索软件操作，又名 Sodinokibi，通过许多用作赎金谈判站点、勒索软件数据泄漏站点和后端基础设施的明网和暗网站点运行。” 报告 BleepingComputer。“从昨晚开始，REvil 勒索软件操作使用的网站和基础设施神秘关闭。”

Tor 泄漏站点、支付网站“decoder[.]re”及其后端基础设施同时下线。

现在通用解密器的可用性成为头条新闻，但该公司没有透露是否在支付赎金后获得了该工具。

我们不能排除 REvil 运营商为了规避当局和执法部门的压力而免费发布了解密器。