A tre settimane dall'
attacco alla supply chain di Kaseya, il produttore statunitense ha ottenuto un
decryptor universale che permette a tutti i suoi clienti di sbloccare i sistemi crittografati e recuperare i propri dati. Nella
nota ufficiale diffusa dall'azienda si legge che "
Kaseya ha ottenuto da una terza parte un decryptor per le vittime dell'attacco ransomware REvil […] e ha messo a disposizione un team di supporto per aiutare i clienti colpiti dal ransomware a ripristinare i propri ambienti".
Al momento non è chiaro lo scenario che ha portato a questo sviluppo. Le ipotesi sul piatto sono almeno due. La prima è che l'azienda abbia contrattato il pagamento del riscatto con i criminali informatici. Stando alle fonti d'oltreoceano,
l'ammontare che era stato richiesto era di 70 milioni di dollari, successivamente abbassato a 50 milioni. È bene sottolineare che non ci sono conferme del pagamento di un riscatto.
Quello che è certo è che poco dopo l'attacco a Kaseya,
sono andati offline di siti usati dal gruppo REvil per pubblicare i dati rubati alle vittime. Sulla questione gli esperti di sicurezza informatica hanno a lungo dibattuto, senza giungere a una conclusione. Dato che non ci sono notizie di un'azione delle forze dell'ordine contro il gruppo REvil, una ipotetica uscita di scena (tutta da confermare) sarebbe stata una scelta dei criminali, per motivi che restano al momento oscuri.
Nel tempo sono stati molti i
gruppi ransomware che si sono sciolti. Pensiamo per esempio al più recente annuncio di dismissione delle attività di
Avaddon, che per l'occasione ha anche pubblicato in rete le chiavi di decodifica per sbloccare i file delle vittime. REvil non ha fatto un'azione di questo tipo, ma se avesse chiuso non è da escludere che possa essere la "terza parte" che ha consegnato il decryptor a Kaseya.
Resta una terza opzione, ma improbabile. Ossia che un'azienda di cyber security, grazie a un'opera certosina di reverse engineering, sia riuscita a creare il decryptor per sbloccare i dati. È accaduto in passato, ma in questi casi l'autore del decryptor è sempre stato ampiamente pubblicizzato per ovvie ragioni di marketing. Nel caso di Kaseya è noto che l'azienda aveva chiesto l'aiuto di un gruppo di servizi di sicurezza di nome Emsisoft per aiutare i suoi clienti a ripulire i loro sistemi dal malware, ma non risultano accenni al decryptor.
Che cosa accade ora
L'esistenza del decryptor, quale che sia la sua provenienza, apre uno scenario fortemente positivo. I clienti di Kaseya vittime dell'attacco (circa 60 secondo i dati aggiornati)
potranno ripristinare i propri dati con l'assistenza del team di supporto doverosamente messo a disposizione dal produttore.
Comunque dovranno installare le patch che sono state realizzate nel frattempo dal produttore statunitense, compreso il Quick Fix Engineering pubblicato il 22 luglio, che risolve fra le altre cose un problema di sicurezza.
Aggiornamento: Kaseya ha dichiarato di non avere pagato gli attaccanti per ottenere il decryptor
. Nella dichiarazione ufficiale si legge che "ogni azienda deve prendere la propria decisione sull'opportunità o meno di pagare il riscatto. Kaseya ha deciso, dopo aver consultato gli esperti, di non negoziare con i criminali che hanno perpetrato questo attacco e abbiamo mantenuto l'impegno. Confermiamo senza mezzi termini che Kaseya non ha pagato un riscatto - né direttamente né indirettamente attraverso una terza parte - per ottenere il decryptor."