نماد سایت اتاق خبر شبکه گستر

خبر خوش برای قربانیان حمله باج‌افزاری به کاسیا

طبق گزارش اخیر کاسیا (Kaseya, Ltd)، این شرکت موفق به دستیابی به کلیدی شده که امکان رمزگشایی تمامی فایل‌هایی را که در اثر حمله باج‌افزاری REvil رمزگذاری شده‌اند، برای مشتریان Kaseya VSA فراهم می‌کند.

کاسیا توضیح زیادی در خصوص این‌که چگونه این کلید به دست این شرکت رسیده نداده و به ارائه آن از سوی یک نهاد ثالث اکتفا کرده است.

کاسیا در حال کار با شرکت امنیتی امسی‌سافت (Emsisoft, Ltd) به‌منظور ساخت ابزاری است تا با بهره‌گیری از کلید مذکور، قربانیان بتوانند از طریق آن فایل‌های خود را رمزگشایی کنند.

امسی‌سافت صحت عملکرد این کلید را تایید کرده است.

۱۱ تیر ماه، برخی مشتریان این شرکت که از محصول Kaseya VSA استفاده می‌کردند هدف باج‌افزار REvil قرار گرفتند. VSA از جمله محصولات این شرکت جهت مدیریت از راه دوره شبکه‌ها و نقاط پایانی است. یکی از کاربردهای اصلی VSA فراهم کردن بستری برای مدیریت نقاط پایانی مشتریان شرکت‌های ارائه‌دهنده خدمات پشتیبانی (Managed Service Provider – به اختصار MSP) است. این شرکت‌ها می‌توانند با استفاده از VSA، سرورها و ایستگاه‌های کاری مشتریان خود را که نرم‌افزار Kaseya Agent بر روی آنها نصب شده است مدیریت کنند. بررسی‌های بعدی نشان داد مهاجمان پس از سوءاستفاده از یک آسیب‌پذیری روز-صفر به شناسه CVE-2021-30116 در VSA اقدام به توزیع کد مخرب بر روی دستگاه‌های متصل به این سرورها و آلوده کردن آنها به باج‌افزار REvil کرده بودند. تخمین زده می‌شود 1500 سازمان و 60 شرکت MSP قربانی این حملات شده باشند.

پس از اجرای این حمله پیچیده و گسترده، مهاجمان درخواست باج 70 میلیون دلاری در ازای ارائه یک کلید رمزگشایی مشترک و قابل استفاده برای تمامی قربانیان، 5 میلیون دلار در ازای ارائه کلید رمزگشایی برای شرکت‌های MSP و 40 هزار دلار در ازای عرضه کلید اختصاصی برای هر قربانی که اقدام به پرداخت باج کند را مطرح نمودند.

اما مدتی کوتاه پس از آن، گردانندگان REvil به طرز مرموزی سایت‌های پرداخت باج را غیرفعال و زیرساخت‌های مخرب خود را از کارانداختند.

برخی منابع احتمال می‌دهند که کلید در نتیجه مذاکرات اخیر کاخ سفید با مسکو در مورد لزوم توقف حملات باج‌افزاری مهاجمان روسی به سازمان‌ها و زیرساخت‌های آمریکا به دست کاسیا رسیده باشد و فشار دولت روسیه عامل اصلی تعطیلی REvil بوده است.

جزییات کامل در خصوص نفوذ به Kaseya VSA و آلوده‌سازی دستگاه مشتریان این محصول به باج‌افزار REvil در لینک زیر قابل مطالعه است:

 

https://newsroom.shabakeh.net/22332

 

خروج از نسخه موبایل