Компания-разработчик программного обеспечения раскрывает ключ дешифрования слишком поздно для многих жертв разрушительной атаки вымогателей.
Сообщение: 23 июля, 21, 17:57 ET
Брайан Фонг, Наташа Бертран и Алекс Марквардт, CNN إن
(CNN) – четверг, софтверная компания объявлен драпированным Они могут помочь разблокировать любую из систем своих клиентов, которые остаются недоступными после разрушительной атаки программ-вымогателей в начале этого месяца, в результате которой было уничтожено около 1500 компаний по всему миру. Но для многих жертв этого было слишком мало, слишком поздно.
Компания заявила, что Касея получил ключ дешифрования, который может освободить любой файл, все еще заблокированный вредоносным ПО, созданным преступной группировкой REvil, которая, как полагают, действует из Восточной Европы или России.
Для организаций, чьи системы все еще были отключены через три недели после атаки, новообретенная доступность инструмента дешифрования вселяла надежду, особенно после того, как REvil таинственным образом исчез из Интернета и оставил многие организации неспособными подключиться к группе.
Но для многих других, кто уже выздоровел без помощи Касеи, либо заплатив банде вымогателей несколько недель назад, либо кропотливо восстановив резервные копии, объявление не помогло – и открывает новую главу исследования для Касеи, поскольку она отказывается отвечать на вопросы. о том, как она получила ключ и заплатила ли она выкуп в размере 70 миллионов долларов или другую сумму.
Сказал Джошуа Джастис, генеральный директор IT-провайдера Just Tech, который большую часть двух недель работал круглосуточно, чтобы снова запустить более 100 клиентских систем из резервных копий, которые хранит Just Tech. «Конечно, наши клиенты не могут ожидать, что мы сядем».
Джастис подтвердил, что инструмент, который Кэсси сделала широко доступным, сработал на него. Пресс-секретарь Касеи Дана Лидхольм сообщила CNN в пятницу, что прошло «менее 24 часов» между тем, как она получила инструмент, и временем, когда она объявила о его существовании, и что она предоставляет ключ дешифрования компаниям технической поддержки, которые являются ее клиентами. который, в свою очередь, будет использовать этот инструмент для разблокировки устройств. Компьютеры для бесчисленных ресторанов, бухгалтерских офисов и стоматологических кабинетов, пострадавших от взлома.
По словам нескольких экспертов по кибербезопасности, которые работают с затронутыми компаниями, для получения доступа к инструменту Kaseya требует, чтобы компании подписали соглашение о неразглашении. Хотя такие соглашения не являются чем-то необычным в отрасли, они могут затруднить понимание того, что произошло после аварии. Кэсси отказалась комментировать соглашения о неразглашении.
разочарование
Некоторые компании, пострадавшие от вредоносного ПО REvil, разочарованы тем, что Касея развернула инструмент через несколько недель после первоначальной атаки, по словам Эндрю Кайзера, вице-президента по продажам фирмы Huntress Labs, занимающейся кибербезопасностью, которая работает с тремя компаниями технической поддержки, пострадавшими от взлома.
«Вчера я разговаривал с поставщиком услуг», который сказал: «Послушайте, в нашей компании работает от 10 до 20 человек. Мы потратили более 2500 рабочих часов на восстановление этого в нашем бизнесе. Если бы мы знали, что есть потенциал для этого неделю или 10 дней назад мы приняли бы совсем другие решения. Сейчас у нас всего 10 или 20 систем, которые могут этим воспользоваться.
Кайзер сказал, что большинство компаний в той же ситуации предпочли съесть затраты на восстановление, а не перекладывать их на клиентов, что означает, что они, возможно, зря потратили труд, время и деньги на самовосстановление в кризисных ситуациях.
Хотя некоторые компании успешно оправились от атаки самостоятельно, многие другие безуспешно боролись в течение нескольких недель. Проблема усугубилась, когда веб-сайты REvil исчезли, что сделало невозможным связаться с группой, чтобы заплатить выкуп или обратиться за технической помощью. Необъяснимое исчезновение группы привело к широко распространенным предположениям о том, что в этом могут быть замешаны Соединенные Штаты или правительство России, хотя ни одна из стран не заявила об этом. Официальные лица США от комментариев отказались, а официальный представитель Кремля отрицал, что им что-либо известно об этом вопросе.
Фирма по кибербезопасности GroupSense работала с двумя учреждениями, небольшой и средней частной школой и юридической фирмой, которые остались с сумкой, когда они больше не могли общаться с REvil.
«Мы вели активные переговоры с REvil, когда они отключились», – сказал CNN ранее на этой неделе Брайс Вебстер Якобсен, директор по разведке GroupSense. «Сразу же от жертв, с которыми мы работали, мы получили:« Подожди, подожди, что ты имеешь в виду, эти парни не в сети? Что это значит для нас? »»
Другие жертвы уже заплатили выкуп REvil. Critical Insight, компания по кибербезопасности, которую жертва наняла для помощи, заявила, что одна такая организация изо всех сил пыталась использовать ключ, полученный от группы. Но с внезапным исчезновением REvil жертва оказалась в затруднительном положении, по словам Майка Гамильтона, соучредителя Critical Insights. Жертва, которая отказалась назвать свою личность и не имела надежных резервных копий, боялась вернуться к своим клиентам, чтобы потребовать свежие копии всех данных, необходимых для завершения ее проектов.
Объявление Касеи на этой неделе, вероятно, будет означать восстановление данных для этих жертв. Но это не меняет ресурсов, которые им приходилось расходовать, и болезненных решений, которые им приходилось принимать в течение длительного периода времени между моментом атаки и моментом, когда Кассия объявила о возможности дешифрования, о которой жертвы не знали. .
«Дополнительные три, четыре или пять дней могут быть разницей между тем, чтобы компания оставалась в бизнесе и говорила:« Мы не можем двигаться вперед », – сказал Кайзер.
Дилемма для администрации Байдена
Люди, знакомые с обсуждениями, говорят, что этот тип головоломки был учтен в мышлении администрации Байдена, когда сотрудники правоохранительных органов и разведки пытались заблокировать подключение групп программ-вымогателей к Интернету. Совет национальной безопасности, в частности, изучает, как избежать косвенного вреда жертвам, которые, возможно, не смогут восстановить свои данные, если преступные группы будут устранены или исчезнут.
Администрация все чаще предпринимает попытки разрушить сети программ-вымогателей, отслеживать выплаты выкупа и создавать международную коалицию против киберпреступности. Но официальные лица постоянно отказываются сказать, сыграло ли правительство США роль в исчезновении Ревелла. Группа, которую также обвиняли в проведении последней атаки с использованием программ-вымогателей на поставщика мяса JBS Foods, отключилась вскоре после того, как высокопоставленный чиновник администрации пообещал, что власти США примут меры против групп вымогателей «в ближайшие дни и недели».
Представитель NSC сказал CNN, что базовая гигиена кибербезопасности – лучший способ для компаний сделать иммунизацию от программ-вымогателей. Но в отношении жертв администрация рассматривает вопрос о том, как стратегия разработки программ-вымогателей может повлиять на них, сказал пресс-секретарь.
Кайзер сказал, что по мере того, как все больше организаций примут предложение Касеи о расшифровке, вероятно, будет больше информации о том, как компания получила доступ к этому инструменту.
А до тех пор эксперты по кибербезопасности гадали, что может случиться. Многие эксперты согласились с тем, что теории в основном делятся на несколько основных групп.
Технически возможно, но маловероятно, что Kaseya или один из ее партнеров сможет реконструировать инструмент из программы-вымогателя, сказал Дрю Шмидт, ведущий аналитик по анализу угроз в GuidePoint Security. Он добавил, что такие группы, как REvil, не оставляют в своем коде уязвимостей, которые можно использовать.
По его словам, наиболее правдоподобная теория заключается в том, что Кэсси получила помощь от сотрудников правоохранительных органов. Несколько экспертов по кибербезопасности заявили, что, если исчезновение REvil на самом деле было результатом операции под руководством правительства, власти могли конфисковать инструмент дешифрования, который можно было бы использовать для помощи Касее, заявили несколько экспертов по кибербезопасности.
Также возможно, что REvil сама передала инструмент дешифрования, добровольно или под давлением властей США или России, сказал Кайл Ханслован, генеральный директор Huntress Labs.
Но наиболее вероятный сценарий также и самый простой: выкуп платит Кассия или ее представитель, сказал Шмидт.
Это поднимает другие вопросы, на которые Кэсси не ответила: заплатила ли компания выкуп? Если да, то когда? Если компания связалась с REvil после ее исчезновения, как вы с ней связались?
«Есть много сценариев, которые могли бы произойти, но у нас нет большого количества информации, чтобы сказать так или иначе», – сказал Шмидт, добавив, что информация о реакции Касеи на атаку «может служить примером. учиться двигаться вперед в будущих ситуациях ».
CNN Wire
™ & © 2021 Cable News Network, Inc. , компания WarnerMedia. Все права защищены.
«Любитель алкоголя. Дружелюбный вебоголик. Пожизненный телеведущий. Гордый интроверт».