Mimpi Buruk Kaseya Ransomware Hampir Berakhir


Hampir tiga minggu lalu, serangan ransomware terhadap perusahaan perangkat lunak TI yang kurang dikenal bernama Kaseya berputar menjadi epidemi penuh, dengan peretas merebut komputer sebanyak 1.500 bisnis, termasuk rantai toko bahan makanan utama Swedia. Pekan lalu, kelompok terkenal di balik peretasan menghilang dari internet, membuat para korban tidak memiliki cara untuk membayar dan membebaskan sistem mereka. Tapi sekarang situasinya tampaknya hampir diselesaikan, berkat kemunculan mengejutkan pada hari Kamis dari alat dekripsi universal.

Peretasan 2 Juli hampir seburuk yang didapat. Kaseya menyediakan perangkat lunak manajemen TI yang populer di kalangan apa yang disebut penyedia layanan terkelola (managed service provider/MSPs), yaitu perusahaan yang menawarkan infrastruktur TI kepada perusahaan yang lebih suka tidak menanganinya sendiri. Dengan mengeksploitasi bug dalam perangkat lunak yang berfokus pada MSP yang disebut Virtual System Administrator, grup ransomware REvil tidak hanya dapat menginfeksi target tersebut tetapi juga pelanggan mereka, yang mengakibatkan gelombang kehancuran.

Dalam minggu-minggu berikutnya, para korban secara efektif memiliki dua pilihan: membayar uang tebusan untuk memulihkan sistem mereka atau membangun kembali apa yang hilang melalui pencadangan. Untuk banyak bisnis individu, REvil menetapkan uang tebusan sekitar $45.000. Itu berusaha untuk mengguncang MSP sebanyak $ 5 juta. Itu juga awalnya menetapkan harga decryptor universal pada $ 70 juta. Kelompok itu kemudian akan turun menjadi $ 50 juta sebelum menghilang, kemungkinan dalam upaya untuk tetap rendah selama momen ketegangan tinggi. Ketika mereka menghilang, mereka membawa portal pembayaran mereka. Para korban dibiarkan terdampar, tidak mampu membayar bahkan jika mereka mau.

Juru bicara Kaseya Dana Liedholm mengkonfirmasi kepada WIRED bahwa perusahaan tersebut memperoleh decryptor universal dari “pihak ketiga yang tepercaya,” tetapi dia tidak menjelaskan siapa yang menyediakannya. “Kami memiliki tim yang secara aktif bekerja dengan pelanggan kami yang terkena dampak, dan akan berbagi lebih banyak tentang bagaimana kami akan lebih lanjut membuat alat ini tersedia saat detail itu tersedia,” kata Liedholm dalam sebuah pernyataan email, menambahkan bahwa penjangkauan kepada para korban telah dimulai. dengan bantuan perusahaan antivirus Emsisoft.

“Kami bekerja sama dengan Kaseya untuk mendukung upaya keterlibatan pelanggan mereka,” kata analis ancaman Emsisoft, Brett Callow dalam sebuah pernyataan. “Kami telah mengkonfirmasi bahwa kunci tersebut efektif untuk membuka kunci korban dan akan terus memberikan dukungan kepada Kaseya dan pelanggannya.”

Perusahaan keamanan Mandiant telah bekerja sama dengan Kaseya dalam remediasi secara lebih luas, tetapi juru bicara Mandiant merujuk WIRED kembali ke Liedholm ketika dimintai kejelasan tambahan tentang siapa yang memberikan kunci dekripsi dan berapa banyak korban yang masih membutuhkannya.

Kemampuan untuk membebaskan setiap perangkat yang tetap terenkripsi adalah kabar baik yang tidak dapat disangkal. Tetapi jumlah korban yang tersisa untuk membantu pada saat ini mungkin merupakan bagian yang relatif kecil dari gelombang awal. “Kunci dekripsi mungkin berguna untuk beberapa klien, tetapi sepertinya terlalu terlambat,” kata Jake Williams, CTO perusahaan keamanan BreachQuest, yang memiliki banyak klien yang terkena kampanye REvil. Itu karena siapa pun yang dapat menyusun kembali data mereka, melalui pencadangan, pembayaran, atau lainnya, kemungkinan besar sudah melakukannya sekarang. “Kasus-kasus di mana kemungkinan paling membantu adalah kasus-kasus di mana ada beberapa data unik pada sistem terenkripsi yang tidak dapat disusun kembali secara bermakna dengan cara apa pun,” kata Williams. “Dalam kasus tersebut, kami merekomendasikan agar organisasi tersebut segera membayar kunci dekripsi jika datanya penting.”

Banyak dari korban REvil adalah usaha kecil dan menengah; sebagai pelanggan MSP, mereka adalah tipe yang lebih memilih untuk mengalihdayakan kebutuhan TI mereka—yang pada gilirannya berarti mereka cenderung tidak memiliki cadangan yang andal yang tersedia. Namun, ada cara lain untuk membangun kembali data, bahkan jika itu berarti meminta klien dan vendor untuk mengirim apa pun yang mereka miliki dan memulai dari awal. “Sepertinya tidak ada orang yang memberikan harapan untuk sebuah kunci,” kata Williams.

Diposting oleh : SGP Prize