Universele decryptor voor ransomware-aanval op Kaseya online

Geopend hangslot met de sleutel in het slot ligt op een laptop

De universele decoderingssleutel van de ransomware die door REvil werd gebruikt bij de recente supply chain aanval, is op een hackersforum verschenen. Hoe hij daar terecht is gekomen, is vooralsnog een raadsel. Meerdere partijen hebben de decryptor getest. Daaruit is gebleken dat de sleutel alleen te gebruiken is voor slachtoffers van de aanval op Kaseya.

Dat schrijft BleepingComputer.

REvil installeert gijzelsoftware bij honderden bedrijven door zero day exploit in VSA

Wellicht herinner je je nog de grootschalige supply chain aanval die begin juli plaatsvond. Leden van de Russische hackersgroep REvil misbruikten toen een zero day exploit in de software Virtual System Administrator (VSA) van Kaseya. Afnemers gebruiken dit programma om computersystemen en servers van klanten op afstand te beheren. Door een kwetsbaarheid in de software konden hackers ongemerkt ransomware of andere malware installeren. REvil deed dit bij zo’n 1.500 bedrijven wereldwijd, waaronder enkele Nederlandse.

Enkele dagen nadat de aanval was ingezet, lieten de Russische hackers van zich horen. Ze boden een universele decryptor aan die alle problemen ‘binnen een uur’ zou verhelpen. Daar hing echter wel een prijskaartje van 70 miljoen dollar aan.

Het losgeld is nooit betaald, omdat Kaseya afgelopen maand de decoderingssleutel ontving van een onbekende partij. Hiermee heeft de Amerikaanse IT-dienstverlener al tal van klanten kosteloos uit de brand geholpen. Deze sleutel is nooit openbaar gemaakt. Sterker nog: voordat slachtoffers de sleutel overhandigd kregen, moesten ze een non-disclosure agreement (NDA) ondertekenen.

Universele sleutel duikt onverwachts op

Een beveiligingsonderzoeker ontdekte woensdag dat de universele decryptor op een hackersforum was gepubliceerd. Hij deelde een screenshot met BleepingComputer. De cybersecuritysite testte de sleutel in een virtuele omgeving met samples van de recente aanval. Daarbij constateerde de site dat alleen gedupeerden van de supply chain aanval op Kaseya de sleutel kunnen gebruiken. Het is géén universele sleutel voor alle campagnes die REvil heeft lopen. Securitybedrijven Emisoft en Flashpoint bevestigen de bevindingen van BleepingComputer.

Wie de universele decryptor op het hackersforum heeft geplaatst, is onbekend. Meerdere bronnen vermoeden dat iemand die nauw betrokken is bij REvil hiervoor verantwoordelijk is. Wie het ook zij, slachtoffers kunnen hun voordeel doen met deze sleutel.

‘Verkoop was belangrijker dan onderhoud’

Beveiligingsspecialisten uit Nederland wisten de ketenaanval bijna te voorkomen. In april vonden ze een aantal kritieke beveiligingsproblemen in de VSA-software. Ze namen contact op met Kaseya en gezamenlijk probeerden ze de beveiligingslekken te herstellen. Maar voordat Kaseya de kans kreeg om een patch uit te rollen, vond de aanval plaats. “Als we een beetje meer tijd hadden gehad, was het ons gelukt”, zeiden Wietse Boonstra en Frank Breedijk van het Dutch Institute for Vulnerability Disclosure (DIVD) over het voorval.

Oud-medewerkers van Kaseya deden onlangs een boekje open over de bedrijfsvoering. Volgens hen bevatte de software van het bedrijf verouderde code, werden er zwakke encryptie en wachtwoorden gebruikt in producten en servers van het bedrijf, en werden elementaire cybersecuritymaatregelen niet nageleefd. Verkoop was belangrijker dan onderhoud. Een andere medewerker zei dat er vrijwel nooit updates werden uitgevoerd in de software en servers van Kaseya. In hun ogen was het dan ook niet vreemd dat REvil zijn gang kon gaan.

Waar is REvil gebleven?

Nadat REvil de supply chain aanval in werking had gezet, verdween de hackersgroep spontaan. Zowel van het dark web als het internet dat voor iedereen toegankelijk is. Ook de telefonische helpdesk was ineens niet langer bereikbaar. Tot slot werd hun belangrijkste woordvoerder van het hackersforum XSS verbannen. Een woordvoerder van het Kremlin vertelde tegenover het Russische staatspersbureau TASS dat de Russische regering hier niets mee te maken heeft. “Ik weet niet waar de groep is, of waar de hackers naartoe zijn vertrokken”, vertelde hij.

Het gerucht gaat dat het REvil te heet werd onder de voeten en al haar operaties per direct staakte. Een andere theorie suggereert dat de Amerikaanse overheid zijn veiligheidsdiensten de opdracht heeft gegeven om de infrastructuur van REvil offline te halen. President Biden en zijn Russische collega Vladimir Poetin spraken elkaar in juli meerdere malen over cyberaanvallen op Amerikaanse doelen vanuit Rusland. “Ik heb hem heel duidelijk gemaakt dat de VS verwacht dat, wanneer een ransomware-operatie vanaf zijn grondgebied wordt uitgevoerd, ook al geeft de staat daarvoor geen opdracht, wij verwachten dat zij optreden als wij hun voldoende informatie geven om op te treden tegen wie dat is”, zei Biden over zijn gesprekken met Poetin.

Jen Psaki, perssecretaris in het Witte Huis, kon niet zeggen of de Amerikaanse regering iets te maken heeft met de verdwijning van REvil.

Techredacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. Meer over Anton.
Plaats een reactie
Een reactie plaatsen