Kaseya krijgt van onbekende partij decryptor voor REvil-ransomware

Kaseya heeft op woensdag van een onbenoemde derde partij een decryptor ontvangen, waarmee bestanden die getroffen zijn door REvils ransomwareaanval weer ontsleuteld kunnen worden. Het bedrijf zegt nu klanten te helpen om hun systemen te herstellen met de tool.

De decryptietool is volgens Kaseya getest door cyberbeveiligingsbedrijf Emsisoft, dat bevestigt dat de tool werkt. Er zouden nog geen problemen zijn ontstaan door het gebruik van de tool. Kaseya gaat met teams klanten actief helpen met het herstellen van hun systemen en zegt getroffen klanten nu te contacteren.

Hoe Kaseya aan de decryptor kwam is niet duidelijk; daar geeft het bedrijf geen details over. REvil bood aan de tool te verkopen voor 42 miljoen euro, al is de website van de groep sinds vorige week offline.

De supplychainaanval op Kaseya begon eerder deze maand en trof ruim duizend bedrijven. Een van de slachtoffers was de Zweedse supermarktketen Coop, die ruim de helft van zijn achthonderd winkels moest sluiten als gevolg van de cyberaanval. Kaseya maakt software voor managed service providers; bedrijven die het ict-beheer doen voor andere, kleinere organisaties. Tweakers schreef eerder een achtergrondartikel over de Kaseya-aanval.

Door Hayte Hugo

Redacteur

Feedback • 23-07-2021 07:42
68 • submitter: webfreakz.nl

23-07-2021 • 07:42

68 Linkedin

Submitter: webfreakz.nl

Lees meer

Ransomware in Kaseya-systemen

Wat weten we allemaal over de aanvallen?

 79
Russische geheime dienst pakt ransomwarebende REvil op Nieuws van 14 januari 2022
'Verenigde Staten halen samen met andere landen REvil-groep offline' Nieuws van 22 oktober 2021
'FBI hield decryptor REvil-ransomware bijna drie weken lang voor zichzelf' Nieuws van 22 september 2021
Decryptor voor ransomware bij Kaseya-klanten verschijnt op internet Nieuws van 12 augustus 2021
'Gigabyte getroffen door ransomware-aanval van hackerscollectief RansomEXX' Nieuws van 6 augustus 2021
Kaseya zegt niet te hebben betaald voor ransomwaredecryptor Nieuws van 26 juli 2021
Bloomberg: ex-werknemers waarschuwden voor gebrekkige security bij Kaseya Nieuws van 11 juli 2021
Nederlandse beveiligingsonderzoekers meldden Kaseya-lekken begin april - update Nieuws van 8 juli 2021
Kaseya-servers blijven offline door fout in uitrol Nieuws van 7 juli 2021
REvil eist cyberaanval Kaseya op en zegt dat miljoen systemen geïnfecteerd zijn Nieuws van 5 juli 2021
Zweedse supermarktketen sluit 500 winkels na cyberaanval op Kaseya Nieuws van 4 juli 2021
Maker it-managementsoftware Kaseya getroffen door 'supply chain attack' Nieuws van 3 juli 2021
Meer producten en artikelen
Beveiliging en antivirus Cybercrime Decryptie Kaseya Ransomware

Reacties (68)

-Moderatie-faq
68
68
35
4
0
23
Wijzig sortering
vanaalten
23 juli 2021 09:00
Wat ik wel opvallend vind, als ik het bronartikel lees:
Kaseya has obtained universal decryptor key
Een universal decryptor, dus niet specifiek voor deze gijzeling maar algemeen voor REvil ransomware?

Zo ja... is er dan niet op z'n minst een morele verplichting om deze tool publiek te maken voor potentieele andere slachtoffers? Of is deze aanval & gijzeling zo uniek dat Kaseya het enige slachtoffer is?
CAPSLOCK2000
@vanaalten23 juli 2021 10:57
Een universal decryptor, dus niet specifiek voor deze gijzeling maar algemeen voor REvil ransomware?
Van te voren was al door REvil aangekondigd dat deze tool aanboden. Ieder slachtoffer is met een andere key versleuteld maar met deze tool kun je ze allemaal maken.
Zo ja... is er dan niet op z'n minst een morele verplichting om deze tool publiek te maken voor potentieele andere slachtoffers? Of is deze aanval & gijzeling zo uniek dat Kaseya het enige slachtoffer is?
Ik vind van wel. Kaseya is zeker niet het enige slachtoffer, deze aanval is nu juist zo opvallend omdat het niet zo zeer een aanval op Kaseya zelf is als wel op de klanten en de klanten van de klanten. Kaseya verkoopt software om IT-systemen mee te beheren, de klanten van Kaseya zijn typisch ingehuurde systeembeheerders die van afstand bedrijven helpen met hun IT. Omdat dit nu juist de mensen zijn met een brede toegang tot de IT-systemen van verschillende bedrijven is deze zaak zo enorm groot. De halve wereld neemt wel ergens een IT-dienst of applicatie af waarbij de aanbieder een deel van het werk heeft uitbesteed aan een dienstverlener die Kaseya gebruikt.
bergkid
@vanaalten23 juli 2021 09:23
Ik ben wel van mening dat dit op een goede manier moet worden verspreid, maar publiekelijk beschikbaar maken lijkt me niet handig, want dan verzint REvil mogelijk weer wat anders. al kunnen ze dat nu ook, als ze die software hebben is dat mogelijk makkelijker voor ze.

Misschien is verspreiden via politie een idee, net zoals in Nederland.
m3gA
@bergkid23 juli 2021 09:41
REvil is van de aardbodem verdwenen. Amerika heeft het Kremlin aardig onder druk gezet hierover dus kans dat ze het te heet onder de voeten kregen en later onder een andere naam weer opduiken of dat het Kremlin ze heeft laten aanpakken.
The_Woesh
@m3gA23 juli 2021 13:06
Ik dacht precies hetzelfde. De CIA heeft wel meer middelen tot zijn beschikking dan alleen een paar miljoen betalen.
Kan best dat een paar bevende REvil leden deze heel snel hebben gegeven.

Amerika heeft dit soort zaken bestempeld als national security threads en dan komen er veel middelen vrij ter 'bestrijding'
bzzzt
@m3gA23 juli 2021 09:53
Lijkt me een mooi plot voor een spionagethriller, maar misschien vond die club het gewoon wel genoeg geweest. Je moet ook stoppen op je hoogtepunt, anders wordt het alleen maar minder ;)
m3gA
@bzzzt23 juli 2021 11:32
https://www.business-stan...denly-121071500001_1.html
Het is geen spionagethriller. is uitgebreid in het nieuws geweest.
Just days after President Biden demanded that President Vladimir V Putin of Russia shut down ransomware groups attacking American targets, the most aggressive of the groups suddenly went off-line early Tuesday.
Sancties worden meestal als financiele sancties op mensen om het kremlin heen dus ik ga er vanuit dat ze daar geen zin in hadden. Hetzelfde als REevil niet in de belangstelling van het Kremlin wil staan.

[Reactie gewijzigd door m3gA op 23 juli 2021 11:33]

bzzzt
@m3gA23 juli 2021 12:03
Ja, Biden heeft dat geroepen en de groep is opgehouden. Dat klinkt natuurlijk heel stoer en zo brengt Biden en de pro-Amerikaanse pers het vast. Maar ik heb geen bewijs dat het ophouden en de 'dreigementen' van Biden een verband hebben.
Juist het 'spontaan' offline halen van zo'n ransomware groep klinkt als enigszins incriminerend voor Putin. Dat betekent dat hij ze of onder controle heeft of al langer weet waar ze zitten en hun gang laat gaan...
m3gA
@bzzzt23 juli 2021 13:09
Rusland levert geen staatsburgers uit. Dat is de reden dat veel malware ook checks heeft en ze niet in Rusland zelf werken. Dit soort zaken is ook voordelig (destabiliseren van anderen) voor het Kremlin dus reken maar dat ze gedoogd worden en dat ze weten wie het zijn. Op fancybear na werken ze ook vast afhankelijk. Maar dat geldt dat Putin er geen last moet krijgen.

[Reactie gewijzigd door m3gA op 23 juli 2021 13:09]

bbob
@m3gA23 juli 2021 10:49
Als je in Rusland het Kremlin achter je aan krijgt zul je daar niet blij van worden. Verwacht geen proces of zoeits.

Ik gok er op dat het kremlin ze heeft kunnen achterhalen en via via deze tool gestuurd heeft om schade te beperken.

Gok er ook op dat deze groep niet zo snel meer zal opduiken.
Alxndr
@vanaalten23 juli 2021 09:18
Ik zou denken universeel voor alle sub-systemen/klanten die geinfecteerd zijn? Geen idee of alle klanten in zo'n situatie dezelfde sleutel nodig hebben en dit dus een soort van loper voor enkel deze serie is.

Dat deze encryptor ook voor andere aanvallen geldt lijkt me sterk, tenzij ze er echt helemaal mee op zijn gehouden.
dasiro
@vanaalten23 juli 2021 09:53
waarschijnlijk gewoon een pak geld op tafel gelegd via een tussenpersoon omdat duidelijk was dat ze het zelf nooit zouden kunnen oplossen. Gezien de ransomware specifiek op hun software is geschreven, is die ook enkel voor hun klanten bruikbaar, wie weet hoeveel individuele klanten er ook al betaald hebben voor een specifieke decryptor en is dit gewoon een laatste keer cashen en met de noorderzon vertrekken
kimborntobewild
@dasiro24 juli 2021 09:31
waarschijnlijk gewoon een pak geld op tafel gelegd
Ja, 42 miljoen.
...wie weet hoeveel individuele klanten er ook al betaald hebben voor een specifieke decryptor en is dit gewoon een laatste keer cashen en met de noorderzon vertrekken
Laatste keer cashen? Hoe naief kan iemand zijn?! Er is zojuist 42 miljoen aan zware criminelen gegeven als beloning voor hun criminele activiteiten; pure financiering voor volgende criminaliteit! Daarom moet het wereldwijd ook wettelijk verboden zijn te betalen aan ransomeware-criminelen. Zodra je betaalt, wordt het probleem alleen maar groter!

[Reactie gewijzigd door kimborntobewild op 24 juli 2021 09:52]

dasiro
@kimborntobewild24 juli 2021 09:36
dat is wat ze vroegen, niet per sé wat ze hebben gekregen. Laatste keer voor ze van de radar verdwenen bedoel ik, niet per sé op een exotisch eiland gaan zitten voor de rest van hun leven en braaf zijn
kimborntobewild
@dasiro24 juli 2021 09:53
Ze verdwijnen alleen van de radar als Putin ze een kopje kleiner maakt. En aangezien hij gebruik maakt van hun diensten, zal hij dat niet doen.
freaky
@vanaalten23 juli 2021 10:01
De decryptor is vaak niet het lastigste deel. Dat zijn de private Keys.

Vraag zal derhalve zijn welke Keys het ding beschikking over heeft.
Johan9711
23 juli 2021 08:01
Onbenoemde derde partij
Dit klinkt gewoon als een verzekeraar die heeft betaald.
42 miljoen euro tegenover een hoop meer potentiele schade, zeker bij bepaalde klanten. Het kan zelfs zijn dat een verzekeraar van 1 van de klanten dit bedrag voor ze heeft betaald.
n9iels
@Johan971123 juli 2021 08:16
Zou best kunnen... probleem met ransomware in grote bedrijf is dat het losgeld vaak als snel minder is dan het verlies van een maand stilliggen en volledig opnieuw opbouwen van het IT-landschap. Betalen wordt dan al snel een relatief aantrekkelijke optie.
Alxndr
@n9iels23 juli 2021 09:13
Idd, relatief, je maakt jezelf wel erg kwetsbaar voor een volgende aanval als je bekend komt te staan dat je zwicht voor zulk digitaal terrorisme.

Ook al zou een bedrijf direct de nodige maatregelen nemen om het in de nabije toekomst te voorkomen, als de achterliggende bedrijfscultuur/bewustzijn niet structureel verandert is de kans groot dat het in de toekomst weer afzakt in oude gewoonten en weer kwetsbaar wordt - echte structurele gedragsverandering is nu eenmaal erg moeilijk.
Edgarz
@Alxndr23 juli 2021 12:00
Dat zou veronderstellen dat daarmee het probleem niet meer zou kunnen voorkomen...dat is niet het geval.
Menselijk gedrag (onmisbaar element) laat zich nu eenmaal niet zo sturen, daarbij zijn de veroorzakers zeer creatief.
De schade kan beperkt worden door goede backup strategieën/maatregelen en patchingsprotocollen maar het is een kwestie van tijd voordat ook hier 'slimme' dingen op gevonden worden door cyber criminelen. En vergeet niet, al die maatregelen kosten structureel geld. Dat betalen wij uiteindelijk zelf, dus het gaat niet alleen op voor bedrijven, ook in de samenleving zelf moet er aardig wat veranderen om dit gedrag niet zo snel negeren onder het mom van 'ach, het is de schuld van het bedrijf zelf'.

Niet betalen maakt de business case voor cyber criminelen moeilijker, as long as crime pays....
kodak
@Johan971123 juli 2021 09:07
De decryptor werkt tegen ransomware die al schade veroorzaakt. Een verzekeraar vergoed die schade niet zomaar, bijvoorbeeld klanten die duidelijk geen modern backup en herstel hebben. Een decryptor zorgt er dan niet zomaar voor dat het voor minder schade zorgt, decryptie kost bijvoorbeeld heel veel tijd en je moet ook nog zorgen zeker te zijn dat al het resultaat klopt.
Tegen nieuwe ransomware helpt het ook niet zomaar, criminelen zien dat de verzekeraar betaald, dan is er altijd wel een andere crimineel (of die zich voor doet als een ander) om het opnieuw te proberen.
Blokker_1999
@kodak23 juli 2021 09:12
Wat een verzekeraar wel of niet vergoed zal toch echt gewoon in de polis staan hoor. En als er regelmatig audits gebeuren, zoals ik zeker bij grotere klanten verwacht, dan zullen ze ook gewoon uitbetalen.

Decryptie beperkt de schade. Als een bedrijf stil ligt kost dat ook geld dat mogelijks vergoed moet worden door de verzekering, als een bedrijf failliet gaat hierdoor is de kans reeel dat alle schuldeisers ook bij de verzekering kunnen komen aankloppen. Door het losgeld te betalen kan je verder en kan je gefasseerd opkuisen om terug vertrouwen te krijgen in je infra. Maar je voorkomt dat er mensen 24/7 bezig moeten zijn, wat ook weer extreem duur is.

En als criminelen het opnieuw willen proberen dan moeten ze een nieuw gat vinden in de beveiliging want het oude is daartegen goed dicht getimmerd. Dat is ook een groot verschil met een DDoS bijvoorbeeld.
m_snel
@kodak23 juli 2021 09:44
Ik neem aan dat je verschillende bronnen heb die je wil terug halen, je kan het programma vast wel meerde keren opstarten. Misschien kan je wel de directory kiezen, en zo meerdere uitbreiding zelfde bron doen.
Tintel
@Johan971123 juli 2021 09:13
Ja - en om dan niet publiekelijk bekend te maken dat het loont om dit te doen...
CAPSLOCK2000
@Johan971123 juli 2021 11:00
[...]

Dit klinkt gewoon als een verzekeraar die heeft betaald.
42 miljoen euro tegenover een hoop meer potentiele schade, zeker bij bepaalde klanten. Het kan zelfs zijn dat een verzekeraar van 1 van de klanten dit bedrag voor ze heeft betaald.
Ik denk ook dat er is betaald. Het zou overigens een veel kleiner bedrag kunnen zijn. Bij REvil weten ze ook wel dat ze de halve wereld achter zich aan hebben. Dat ze in een paar dagen tijd daalden 70 miljoen naar 40 miljoen was al een teken dat ze er eigenlijk vanaf willen. Dus misschien dat ze een veel lager bedrag hebben geaccepteerd zodat ze uit de schijnwerpers verdwijnen.
JJ Le Funk
23 juli 2021 08:23
dit riekt naar 'misdaad loont', dat kan toch niet de bedoeling zijn en zal de high tech crime teams ook niet helpen als er wordt toegegeven aan criminelen (dweilen met de kraan open).
vanaalten
@JJ Le Funk23 juli 2021 08:54
Wat zou jij doen als:
Alle gegevens op je telefoon, PC's versteuteld zijn. En stel dat OOK nog eens al je backups op magische wijze versleuteld zijn? Dat alles aan persoonlijke data, foto's, video's, allemaal in 1 klap weg zijn. En stel dat de criminelen daar €2 voor vragen om het te herstellen? Of €20? Of €200?

Ja, ik zou mij er flink k*t bij voelen, maar als ik er vertrouwen in zou hebben dat ik m'n data terugkrijg, zou ik er zo €200 voor neertellen.

Je kan wel leuk principieel doen en 'misdaad loont' roepen, maar uiteindelijk heeft je data een bepaalde waarde en gaat iedereen 'economisch denken'.
Joppiez
@vanaalten23 juli 2021 09:44
Oftewel misdaad loont. We moeten er niet vreemd van staan te kijken dat in de toekomst de dreiging alleen maar gaat toenemen (ik verwacht niet anders). Het verdient veel te lekker en de pakkans is zeer klein, en wordt alleen maar kleiner naarmate er meer activiteit plaatsvindt.
m_snel
@vanaalten23 juli 2021 09:45
Je bewaard een backup natuurlijk offline dus daar zal niks mis mee zijn.
YGDRASSIL
@m_snel23 juli 2021 10:12
De betere ransomware tegenwoordig zit eerst een tijdje op je netwerk en verpest ook je backups voor er actief ge-encrypt gaat worden en geld gevraagd.
Hans C
@YGDRASSIL23 juli 2021 11:58
Zo is dat ook bij Garmin vorig jaar gegaan. De criminelen hebben veel geduld tegenwoordig. Net zo lang tot ze zeker weten dat ook iedere offline backup is geinfecteerd en dan de knop omdraaien.
Cergorach
@JJ Le Funk23 juli 2021 09:32
Natuurlijk loont misdaad! Waarom denk je dat er überhaupt criminelen zijn? Het is net als elk ander beroep, je hebt prutsers die failliet/gepakt worden en je hebt gasten die heel succesvol worden. Of ze dat blijven is altijd weer de vraag, net als in het reguliere bedrijfsleven.

Dat 'toegeven aan criminelen' is iets wat dagelijks gebeurt, buiten het internet om. Of ga jij ook lekker principieel doen als iemand een pistool in je mond steekt en zegt "Je geld of je leven!"?
dycell
@Cergorach23 juli 2021 09:43
Haha, ik vind dat ook altijd zo'n bizar dat mensen denken dat misdaad niet loont. Je mag al 10 mensen oplichten op marktplaats voordat de politie überhaupt de zaak gaat onderzoeken. Het enige wat mensen tegenhoud is hun geweten.
bzzzt
@dycell23 juli 2021 10:00
Ligt denk ik heel erg aan het bedrag wat met de oplichting gemoeid is. Marktplaats is ook zo'n typische hangplek voor kruimeldieven, en de politie kan niet iedereen die een paar tientjes heeft overgemaakt maar niets gekregen heeft helpen.
uiltje
@dycell23 juli 2021 10:06
Ik denk dat het gezegde meer gaat om het totaalplaatje. Het doen van een misdaad is inderdaad lonend, maar het is de vraag of het een verstandige carrière stap is. De kans dat je ooit tegen de lamp loopt of dat je in conflict komt met andere criminelen is natuurlijk groot. En het heeft nogal wat invloed op je dagelijkse leven - wie wil er nog je vriend zijn?

Je hoort maar zelden criminelen praten over dat ze zo blij zijn dat ze in de misdaad zijn gestapt. Natuurlijk is de kans groot dat je überhaupt niet van die mensen hoort, maar goed, het blijft toch de vraag in hoeverre je er blij van wordt - buiten het morele vraagstuk.

[Reactie gewijzigd door uiltje op 23 juli 2021 10:06]

FreezeXJ
@uiltje23 juli 2021 13:34
Ik hoor ook zelden vrienden blij zijn dat ze de politiek ingestapt zijn... en ik denk dat de meeste misdadigers tactisch hun mond houden over hun precieze dagelijkse activiteiten, en gewoon lekker in hun BMW rondscheuren (de succesvolle dan, de prutsers lopen de cel in en uit). De hier genoemde cybercriminelen hebben gewoon een goed-lopend security-bureautje, dat ongevraagd advies geeft en daar de rekening voor presenteert. Zeg maar een belastingdienst 2.0.
Orgel
@Cergorach23 juli 2021 10:08
die failliet/gepakt worden
Kapot geschoten worden, gemarteld worden of hun hele leven lang over hun schouders moeten kijken. Misdaad loont in de onderwereld maar bij succes zeg je de bovenwereld bye bye.
r03n_d
@JJ Le Funk23 juli 2021 10:49
Dit riekt tevens naar betrouwbare criminelen. Als je losgeld betaald krijg je altijd een decryptor die gewoon doet wat ze beloven. Dat is an sich al wel bijzonder.
FreezeXJ
@r03n_d23 juli 2021 13:36
Hoezo? Als je coke bestelt krijg je het meestal ook :+ Als ze zich niet aan hun afspraken houden doet er niemand meer zaken mee, bovenwereld of onderwereld. Kun je nog zo'n goeie crimineel zijn, maar die reputatie van slechte zakenpartner zorgt voor brakke betalingen.
ApC_IcE
23 juli 2021 07:47
Interessant, ben benieuwd naar de motivatie. Hebben de hackers hier een deel in, is er toch iets betaald, overheidsbemoeienis van Rusland?
Simkin
@ApC_IcE23 juli 2021 07:53
Heel vreemd, wie weet was de groep al geïnfiltreerd en hebben ze strategisch gewacht met het releasen (follow the money)
vinkjb
@ApC_IcE23 juli 2021 09:26
Dit zijn van die aannames die we nooit gaan weten wie zich er mee bemoeit heeft. Jammer maar helaas, voor de slachtoffers wel heel goed nieuws natuurlijk.
h3nk13
23 juli 2021 07:59
Vermoed dat de druk op Rusland te groot is geworden wat betreft deze groep en dat er gedreigd is met internationale sancties. Dan is het snel gedaan want ome Vlad vind je echt wel als hij wil.
4Reload
@h3nk1323 juli 2021 08:54
Lijkt er inderdaad op dat ze te ver zijn gegaan (zelfs voor ome Vlad) en voor nu even aan Damage Control doen, alles uit de lucht halen en gratis hun tool vrijgeven... Even underground en over een paar maanden weer klein beginnen...
Flytezero
23 juli 2021 09:20
Kan dat wel een universele decryptor ?
Is het niet zo dat alles dan met dezelfde sleutel is versleuteld of dat alle sleutels in de universele tool zitten.
uiltje
@Flytezero23 juli 2021 10:14
Je kan ook sleutels afleiden van een master key en een lokaal ID dat het systeem identificeert, da's het meest logisch. Dat lukt ook prima met private keys. Je hebt tijdens het versleutelen wel iets extra communicatie nodig want je wil de master key niet zelf op het systeem hebben natuurlijk, dus dan stuur je een ID op naar centraal, dan genereer je het keypair daar, en stuur je de publieke sleutel om te versleutelen op naar lokaal. Presto.

[Reactie gewijzigd door uiltje op 23 juli 2021 10:15]

AtlAntA
23 juli 2021 07:54
Een digitale Batman of <insert random superhero>? Of is er achter de schermen meer gebeurd of zelfs betaald dan men laat blijken?
The Zep Man
@AtlAntA23 juli 2021 08:08
Batman is accuraat. Werkt buiten de wet omdat die binnen de wet zijn werk niet kan doen (vigilante). Niet alle superhelden zijn overigens zo. Superman en Captain America vertegenwoordigen vaak de traditionele padvinder, en houden zich meestal aan de wet (uitzonderingen voor drama daargelaten).

Het kan zijn dat de groep zelf gehackt is of een infiltrant heeft, of dat een lid van die groep spijt heeft. Zo kan het in theorie de publieke gezondheid raken (gehackte GGD's, etc.), met doden tot gevolg.
Tintel
@The Zep Man23 juli 2021 09:20
totaaaaal of topic (maar wel leuk en het is vrijdagmiddag :+ ):

Grappig genoeg heeft juist Batman een directe link met de politie (batsign op het dak van het politie bureau) en werkt hij vaak nauw samen met inspecteur (agent) Gordon.
Dat Superman en Cap meer padvinder zijn betekent nog niet dat ze meer samenwerken met de politie. om de een of ander reden, de politie meer achter Batman aan jaagt dan achter Superman of Cap. Wellicht dat het Superman ook erg onpraktisch is. :9

Wel is Batman een typische tech savant - al vanaf de prille begindagen had hij zo'n leuke computer die telex berichtjes afdrukte... :Y)
Ironman is ook een goede kandidaat.
Zwaai Haai
@The Zep Man23 juli 2021 09:26
Leuk speculatie nieuwsberichtje dit, blijkt ook uit de comments. Er zijn allerhande scenario's die niet publiek mogen worden, allemaal film scenarios.

Ik ga voor de optie tegenhack met zerodays of waarbij het hacken niet helemaal volgens de juiste wettelijke kaders is verlopen. Lijkt mij het leukste ook voor het filmscript. Met excentrieke hacker die eigenlijk gestopt was en zijn geld aan het verbrassen was aan drank en drugs, en toch weer aan de slag gaat voor deze klus. script is bijna klaar. Moet alleen nog even de goede muziek voor de movie-montage bedenken. Ideeën iemand?
Automark
23 juli 2021 08:26
Het zou me haast verbazen als er niet 'gewoon' is betaald, go door kaseya, hun verzekeraar of zelf een klant.
Drardollan
23 juli 2021 08:58
Dit is enkel voer voor speculatie. Mogelijk is de encryptietool van REvil gekraakt of een heeft de encryptietool zelf ook last van een zero-day waarmee de encryptiesleutel uit het geheugen of een bestand te halen is.

Voor de klanten van de MSP's is dit natuurlijk wel een fijn iets, hoewel de meesten al grotendeels weer op weg zullen zijn kan deze dcryptietool net het verschil maken om die laatste paar belangrijke bestanden terug te krijgen.
nst6ldr
23 juli 2021 09:14
Het feit dat de website (en ik vermoed dan ook de infra) achter REvil offline is, en een losstaande decryptor als executable beschikbaar is en blijkbaar werkt, geeft dat toch wel voer tot nadenken: blijkbaar is de sleutel óf uniek per systeem maar lokaal wel herleidbaar, óf overal hetzelfde en eenduidig inzetbaar.
uiltje
@nst6ldr23 juli 2021 10:10
Nou ja, private sleutels kunnen 256 bit zijn, je kan ook gewoon alle tot nu toe bekende sleutels invoegen. Het afleiden van een master key is ook een eitje en is het meest logisch. Dan bereken je de lokale sleutel met de master key en een systeem specifiek ID.

[Reactie gewijzigd door uiltje op 23 juli 2021 10:11]

1 2

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee