Kaseya ha comunicato di aver ricevuto un decryptor universale per ripristinare il file cifrati dal ransomware REvil, in seguito all’attacco effettuato il 2 luglio contro il software VSA (Virtual System Administrator). Non è chiaro chi ha fornito il tool e non è noto se è stata pagata una somma di denaro. Il gruppo di cybercriminali russo aveva chiesto un riscatto fino a 70 milioni di dollari.
Decryptor per recuperare i file
L’attacco ransomware è stato effettuato il 2 luglio, sfruttando tre vulnerabilità zero-day presenti nel software Kaseya VSA che la software house non aveva ancora risolto, nonostante le segnalazioni ricevute da ricercatori olandesi nel mese di aprile e dai suoi stessi dipendenti.
I cybercriminali hanno colpito circa 30 MSP (Managed Service Provider) che gestiscono le infrastrutture IT di oltre 1.000 clienti, utilizzando il software VSA. Il ransomware è entrato nei loro sistemi attraverso un finto aggiornamento. Il gruppo REvil ha successivamente confermato di essere l’autore dell’attacco, chiedendo un riscatto fino a 70 milioni di dollari.
A metà luglio, il gruppo è sparito nel nulla, chiudendo tutti i siti, forum e blog. Solitamente in questi casi, le aziende colpite non ricevono la chiave per decifrare i file. Kaseya ha invece comunicato di aver ottenuto un decryptor universale da terze parti. Emsisoft ha confermato che il tool funziona. Kaseya non ha svelato il nome del “benefattore”. Qualcuno ipotizza che sia stato consegnato da REvil al governo russo e quindi agli Stati Uniti.