Производитель программного обеспечения для удалённого администрирования Virtual System Administrator (VSA), компания Kaseya сообщила, что получила универсальный декриптор против шифровальщика-вымогателя REvil и сейчас помогает своим клиентам восстановить доступ к данным, которые были зашифрованы в результате атаки на инфраструктуру VSA, произошедшей 2 июля.
В разговоре с ресурсом The Record представитель Kaseya подтвердил, что компания получила декриптор «от доверенной третьей стороны», но отказался сообщать, от кого именно. Он добавил, что декриптор был получен вчера. Компания проверила его работоспособность, и сегодня начала рассылать его копии своим пострадавшим клиентам.
6 июля Kaseya сообщила, что в числе пострадавших оказались 60 её пользователей, предоставляющих через VSA услуги удалённого администрирования, и 1500 конечных клиентов, информационные системы которых они обслуживали. Позже компания подтвердила, что внедрить вредоносное ПО в программное обеспечение VSA хакерам удалось через неназванную уязвимость «нулевого дня».
Хакерская группировка REvil выступила с заявлением, в котором сообщила, что берёт на себя ответственность за взлом и распространение вируса-вымогателя через инфраструктуру VSA. Поскольку из-за количества пострадавших хакеры не могли обратиться к каждому из них лично злоумышленники потребовали за универсальный декриптор зашифрованных файлов $70 млн от всех сразу.
Любопытно, что спустя несколько дней, 13 июля все известные в даркнете сайты, связанные с хакерской группировкой REvil, стали недоступны. Хакеры их отключили и ушли в тень, что вызвало панику среди множества компаний, оказавшихся в числе пострадавших.
На момент написания данного текста неизвестно, заплатила ли Kaseya требуемый хакерами выкуп. Возможно, универсальный декриптор был передан Kaseya бесплатно самими REvil, получен от некоей компании, занимающейся вопросами кибербезопасности или предоставлен правоохранительными органами.