Kaseya zegt niet te hebben betaald voor ransomwaredecryptor

Kaseya heeft niet betaald voor de decryptor voor de REvil-ransomware die via het bedrijf werd verspreid. Het bedrijf zegt nog steeds niet hoe het de decryptor heeft gekregen, maar ontkent dat het daarvoor heeft betaald.

Dat schrijft het bedrijf in een update over de recente ransomwareaanval. Honderden bedrijven werden wereldwijd getroffen door de REvil-ransomware, die werd verspreid via de msp-software die Kaseya aanbood. Kaseya kreeg eerder deze maand van een onbekende partij een decryptor waarmee klanten hun systemen die door de gijzelsoftware waren getroffen konden ontsleutelen. Het bedrijf zei toen niet hoe het aan die tool kwam.

Door het zwijgen van Kaseya over dat onderwerp dachten veel mensen dat het bedrijf betaald had voor de decryptor. "We hebben geleerd dat we door ons zwijgen rondom het betalen van het losgeld mogelijk nieuwe ransomware-aanvallen kunnen uitlokken", zegt Kaseya. "Dat is niet ons doel." Het bedrijf zegt dat het met experts heeft gesproken over het betalen van het losgeld, maar dat het na die gesprekken besloot niet te onderhandelen met de hackers. "Daarom zeggen we in niet mis te verstane woorden dat Kaseya het losgeld niet heeft betaald", zegt het bedrijf. Het voegt daaraan toe dat dat zowel niet direct als indirect via bijvoorbeeld een derde partij is gebeurd.

Het blijft wel onduidelijk hoe Kaseya de decryptor dan heeft gekregen. De aanval was uniek omdat de criminelen achter REvil niet van ieder bedrijf apart losgeld eisten, maar één prijs vroegen voor een algemene decryptor. De decryptor die Kaseya nu heeft, is volgens het bedrijf '100 procent effectief'. Kaseya geeft de decryptor aan klanten, maar maakt die niet openbaar beschikbaar.

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 26-07-2021 20:13 49

26-07-2021 • 20:13

49

Lees meer

Ransomware in Kaseya-systemen

6 jul 2021

Ransomware in Kaseya-systemen

Wat weten we allemaal over de aanvallen?

79
Oekraïense man krijgt in VS 13 jaar cel voor ransomwarehacks via Kaseya
Oekraïense man krijgt in VS 13 jaar cel voor ransomwarehacks via Kaseya Nieuws van 3 mei 2024
Russische geheime dienst pakt ransomwarebende REvil op
Russische geheime dienst pakt ransomwarebende REvil op Nieuws van 14 januari 2022
'Verenigde Staten halen samen met andere landen REvil-groep offline'
'Verenigde Staten halen samen met andere landen REvil-groep offline' Nieuws van 22 oktober 2021
'FBI hield decryptor REvil-ransomware bijna drie weken lang voor zichzelf'
'FBI hield decryptor REvil-ransomware bijna drie weken lang voor zichzelf' Nieuws van 22 september 2021
'Olympus Europa is getroffen door BlackMatter-ransomware'
'Olympus Europa is getroffen door BlackMatter-ransomware' Nieuws van 13 september 2021
Decryptor voor ransomware bij Kaseya-klanten verschijnt op internet
Decryptor voor ransomware bij Kaseya-klanten verschijnt op internet Nieuws van 12 augustus 2021
'Gigabyte getroffen door ransomware-aanval van hackerscollectief RansomEXX'
'Gigabyte getroffen door ransomware-aanval van hackerscollectief RansomEXX' Nieuws van 6 augustus 2021
Samenwerkingsverband moet cyberinfrastructuren VS beter helpen beveiligen
Samenwerkingsverband moet cyberinfrastructuren VS beter helpen beveiligen Nieuws van 6 augustus 2021
RiskIQ deelt lijst met meer dan dertig ip-adressen van Russische malwareservers
RiskIQ deelt lijst met meer dan dertig ip-adressen van Russische malwareservers Nieuws van 30 juli 2021
Kaseya krijgt van onbekende partij decryptor voor REvil-ransomware
Kaseya krijgt van onbekende partij decryptor voor REvil-ransomware Nieuws van 23 juli 2021
Nederlandse beveiligingsonderzoekers meldden Kaseya-lekken begin april - update
Nederlandse beveiligingsonderzoekers meldden Kaseya-lekken begin april - update Nieuws van 8 juli 2021
REvil eist cyberaanval Kaseya op en zegt dat miljoen systemen geïnfecteerd zijn
REvil eist cyberaanval Kaseya op en zegt dat miljoen systemen geïnfecteerd zijn Nieuws van 5 juli 2021
Maker it-managementsoftware Kaseya getroffen door 'supply chain attack'
Maker it-managementsoftware Kaseya getroffen door 'supply chain attack' Nieuws van 3 juli 2021
Meer producten en artikelen
Beveiliging en antivirus Kaseya Ransomware

Reacties (49)

-Moderatie-faq
49
47
30
2
0
0
Wijzig sortering

Sorteer op:

Weergave:
threaker2 26 juli 2021 20:23
Ze zeggen alleen dat Kaseya niet betaald heeft. Niet dat er niet betaald is.
Kalder @threaker226 juli 2021 20:25
"Daarom zeggen we in niet te mistane woorden dat Kaseya het losgeld niet heeft betaald", zegt het bedrijf. Het voegt daaraan toe dat dat zowel niet direct als indirect via bijvoorbeeld een derde partij is gebeurd.
Ze zeggen dus dat er gewoon niet voor betaald is, even het artikeltje lezen.
threaker2 @Kalder26 juli 2021 20:41
Dat is wat Tweakers er van maakt. In de (engelstalige) bron zie ik dat niet staan.;
KoffieAnanas @threaker226 juli 2021 20:46
As such, we are confirming in no uncertain terms that Kaseya did not pay a ransom – either directly or indirectly through a third party – to obtain the decryptor.

Een verzekeraar die betaald zou hebben, kun je opvatten als indirectly. Als er al betaald zou zijn, dan is Kaseya daar niet bij betrokken, lijkt mij, anders doet het afbreuk aan hun eigen geloofwaardigheid.

[Reactie gewijzigd door KoffieAnanas op 23 juli 2024 02:32]

janbaarda @KoffieAnanas27 juli 2021 02:52
Ergo die "Russische staatshacker" kunnen niet eens een fatsoenlijke encryptie maken.

Wat ook mogelijk is, is dat een bekend encryptie algoritme is gebruikt dat inherent niet veilig is. We weten dat in het verleden encryptie algoritmes bedacht zijn door DARPA, waarin opzettelijk een zwakheid werd aangebracht.
Lapa @KoffieAnanas26 juli 2021 21:17
edit: reactie op verkeerde plek geplaatst.

[Reactie gewijzigd door Lapa op 23 juli 2024 02:32]

AuteurTijsZonderH Nieuwscoördinator @threaker226 juli 2021 20:28
Het zou inderdaad theoretisch kunnen dat een verzekeraar of bedrijf dat niet aan Kaseya is gelinkt het heeft betaald, al lijkt me dat communicatief spelen met vuur voor Kaseya...
OxWax @TijsZonderH26 juli 2021 20:34
Misschien een voorwaarde van de verzekering of vraag van politie? Klanten kan het vast niks schelen hoe de decryptor verkregen is. :X Bedrijf is niet verplicht interne keuken te communiceren (daar hebben ze een speciale lijn naar Bloomberg voor ;) )
dasiro @TijsZonderH26 juli 2021 20:53
advocaten zullen deze verklaring wel 5x omgedraaid hebben vooraleer ze goedgekeurd is geweest
Dramatic @TijsZonderH26 juli 2021 21:14
Staan verzekeraars er dan om bekend om vrijwillig geld over te maken aan entiteiten waar ze niks mee van doen hebben?
ErwinPeters @Dramatic27 juli 2021 09:54
... Ja.
Lapa @TijsZonderH26 juli 2021 21:19
Het is niet uitgesloten dat een van de getroffen bedrijven betaald heeft, maar er zelf ook geen belang bij heeft als dat uitkomt. Dan zouden de uitspraken van Kaseya nog steeds (soort van) kloppen.

Maar er zijn inderdaad ook allerlei scenario's denkbaar waarbij er in het geheel niet betaald is.
Lagonas @threaker226 juli 2021 20:27
Waarom zou iemand anders voor Kaseya betalen?
Anonymoussaurus @Lagonas26 juli 2021 20:32
Wellicht een grote investeerder van Kaseya?
themadone @Anonymoussaurus26 juli 2021 20:39
of een klant die door moet?
threaker2 @Lagonas26 juli 2021 20:39
Aandeelhouder(s) of klanten.
elmuerte @Lagonas26 juli 2021 20:48
Omdat die partij een onderhandse opdracht gekregen heeft van Kaseya om te betalen.
YopY @Lagonas27 juli 2021 11:14
"National security" redenen misschien?
Toettoetdaan @threaker227 juli 2021 09:30
Precies, die hebben gewoon een ontwikkelaar omgekocht.
m_snel 26 juli 2021 20:27
Als je natuurlijk een tool met een key uitrolt kan je natuurlijk niet honderden getroffen bedrijven op nieuw laten betalen.
Maar het is natuurlijk wel heel toevallig dat de site uit de lucht is en de key vrijgegeven.
Zo zie je maar dat een gesprek op het juiste niveau soms voldoende is.
themadone @m_snel26 juli 2021 20:40
plot twist, de broer van een van de hackers heeft een IT bedrijf en gebruikt Kaseya
m_snel @themadone26 juli 2021 20:43
Dan geef je het natuurlijk alleen aan je broer, maar dan hoef je natuurlijk niet je site offline te halen.
themadone @m_snel26 juli 2021 22:15
kan zijn dat bijvoorbeeld de NSA ze gepakt heeft natuurlijk, maar dan snap ik niet dat de revil decryptor niet publiek is gemaakt voor iedereen?
Verwijderd @AntiSpam27 juli 2021 07:24
Ransomware aanvallen zijn nuttig, het maakt duidelijk zien hoe alles er voor staat zonder mogelijkheid om te ontkennen of te bagatelliseren.

Pandemie en ransomware hebben meer goed dan slechts veroorzaakt voor IT.
Vreemde bewoordingen. Ik denk te snappen wat jij bedoelt, maar de woorden "nuttig", "meer goed dan slecht" hanteren voor ransomware vind ik wel heel vergezocht. Dat ransomware menselijke beperkingen, slordigheden, procedure-fouten, programmeerfouten en kwetsbaarheden bij de diensten ingericht door mensen en bedrijven misbruikt en daarmee openbaar maakt is duidelijk. Maar die kunnen ook op minder schadelijke en legale manieren openbaar worden gemaakt. Ransomware wordt simpelweg gebruikt door criminelen.
Nog wat stellingen:
  • Malaria, Kanker, Mutiple Sclerose, TBC etc. etc. heeft meer goeds dan slechts gedaan voor de mensheid. (Want daardoor wordt de geneeskunde gedwongen om oplossingen daarvoor te verzinnen).
  • Wapens hebben meer goed dan slechts gedaan voor de mensheid. (Want daardoor is de mens gedwongen geweest om beschermingsmiddelen te ontwikkelen als kogelvrije vesten, malienkolders, harnassen en wapens die gerichter kunnen schieten).
  • Corona heeft meer goed gedaan dan slecht voor de wereld (Want nu beseft de hele wereld hoe kwetsbaar de wereldeconomie is en hoe afhankelijk wij mensen zijn van elkaar.)
  • Slavernij in de 500 jaar geleden heeft meer goed dan slecht gedaan voor de zwarte bevolking. (Want nu worden ze meer als gelijken gezien als toen.)

[Reactie gewijzigd door Verwijderd op 23 juli 2024 02:32]

sniper20 @AntiSpam26 juli 2021 21:33
Die Kaseya server staat helemaal niet bij de klant in geval van een MSP. Dus hoezo 443 inbound open bij klanten?
AntiSpam @sniper2026 juli 2021 21:43
On premise beheertool die MSP gebruikt wel.

Bron zit dicht bij vulnerability melder.
JJ Le Funk 26 juli 2021 21:33
ik vermoed dat één van Kaseya's klanten betaald heeft voor de key. Deze gedeeld werd met Kaseya voor de toepassing ervan, zij doen immers het beheer. En Kaseya er gaandeweg achter kwam dat dezelfde key voor alle getroffen klanten werkt.
lvmeijer @JJ Le Funk27 juli 2021 09:30
Of een (geheime)overheidsdienst heeft de key bemachtigd. De sites van deze organisaties gingen ook op zwart.
YopY @lvmeijer27 juli 2021 11:19
Ik denk dat dit hem idd is; partijen als de NSA hebben heel veel geïnvesteerd in het breken van encryptie, zowel mbt de wiskunde en algoritmes (backdoors / zwakke plekken inbouwen) als qua hardware om zaken te bruteforcen. Maar of ze die capaciteit hebben is een strikt geheim natuurlijk.
Corsa_GSi @JJ Le Funk27 juli 2021 12:28
Er bestaat natuurlijk ook de mogelijkheid dat de Russische staat heeft ingegrepen bij het hackerscollectief.
Welke openlijk aan een Russische geheime dienst werd gelinkt.
En volgens mij meen ik ergens gelezen te hebben dat het hackerscollectief ineens ook niet meer zo actief is.
1 = 1 = ?
JJ Le Funk @Corsa_GSi27 juli 2021 20:03
≠1 met zoveel onbekende condities
chielsen 26 juli 2021 23:00
Het is giswerk maar als het niet zo is dat iemand voor de decryptor heeft betaald (valt dat onder indirectly?) dan zou het kunnen dat bijvoorbeeld een staatshacker zoals de nsa heeft geholpen. Het zou mooi zijn als de criminelen idd echt niks hebben verdiend.
Martinez- 26 juli 2021 23:46
Zou Kayesa de decryptor ontvangen hebben onder voorwaarde deze niet openbaar te delen? Of zou het openbaar delen van deze key mogelijkerwijs andere mogelijkheden bieden voor andere hackers?
Apolopo 26 juli 2021 20:17
Wel betaald aan een bemiddelaar die de hackers wel betaald heeft, net als Garmin?
OxWax @Apolopo26 juli 2021 20:20
Nope
Wel betaald aan een bemiddelaar die de hackers wel betaald heeft, net als Garmin?
"As such, we are confirming in no uncertain terms that Kaseya did not pay a ransom – either directly or indirectly through a third party "

[Reactie gewijzigd door OxWax op 23 juli 2024 02:32]

Lagonas @Apolopo26 juli 2021 20:21
Staat in de een na laatste alinea.
"Daarom zeggen we in niet te mistane woorden dat Kaseya het losgeld niet heeft betaald", zegt het bedrijf. Het voegt daaraan toe dat dat zowel niet direct als indirect via bijvoorbeeld een derde partij is gebeurd.
OxWax 26 juli 2021 20:23
Het blijft wel onduidelijk hoe Kaseya de decryptor dan heeft gekregen
@TijsZonderH Hoezo onduidelijk en onbekend?

"Kaseya is working with Emsisoft to support our customer engagement efforts, and Emsisoft has confirmed the key is effective at unlocking victims".
AuteurTijsZonderH Nieuwscoördinator @OxWax26 juli 2021 20:25
Daar staat niet dat Emsisoft de decryptor aan ze heeft gegeven. Ze doen alleen technische assistentie bij het unlocken van klanten met behulp van de decryptor.
m_snel @OxWax26 juli 2021 20:28
Maar samenwerking zegt niks over waar de juiste sleutel vandaan komt, alleen maar dat die niet uniek is.
Qlusivenl 26 juli 2021 20:16
Toeval?
nieuws: Decryptietools van No More Ransom zijn in vijf jaar zes miljoen keer ...

8)7
AuteurTijsZonderH Nieuwscoördinator @Qlusivenl26 juli 2021 20:24
Lijkt me sterk tbh, No More Ransom is al heel lang niet meer echt nuttig voor decryptors voor bedrijven. En als de politie/FBI/Interpol REvil had opgerold hadden ze dat echt niet stilgehouden :)
arjankoole @TijsZonderH26 juli 2021 20:44
Lijkt me sterk tbh, No More Ransom is al heel lang niet meer echt nuttig voor decryptors voor bedrijven. En als de politie/FBI/Interpol REvil had opgerold hadden ze dat echt niet stilgehouden :)
de politie zou dat wel degelijk stil houden als dat in het belang van het lopende onderzoek is.
robvanwijk @arjankoole26 juli 2021 23:02
de politie zou dat wel degelijk stil houden als dat in het belang van het lopende onderzoek is.
Jullie hebben allebei gelijk: als de politie zo'n grote slag slaat, dan maken ze dat gegarandeerd bekend... na verloop van tijd, als de bekendmaking verder onderzoek en het arresteren van meer verdachten niet meer in de weg staat. Of ze REvil opgerold hebben is op dit moment niet te zeggen, maar als we er over een paar maanden nog niets over gehoord hebben, dan kun je er denk ik veilig vanuit gaan dat Kaseya de decryptor niet gekregen heeft van de politie.
Iblies @betatester26 juli 2021 21:00
Net zoals er een markt is voor encryptors, is er een markt voor decryptors.

In wannacry zat een optie waardoor het kon worden gestopt,

https://techcrunch.com/2019/07/08/the-wannacry-sinkhole
By registering the domain, Hutchins had “sinkholed” the ransomware, allowing him to capture and dispose of malicious internet traffic.
Wanneer men miljoenen vraagt,
dan zijn oplossingen automatisch miljoenen waard.
We can confirm that Kaseya obtained the tool from a third party and have teams actively helping customers affected by the ransomware to restore their environments, with no reports of any problem or issues associated with the decryptor.
Oon @betatester26 juli 2021 20:19
Zoals Qlusivenl in 'nieuws: Kaseya zegt niet te hebben betaald voor ransomwaredecry... ook al aanhaalt zijn er gewoon decryptors te krijgen voor sommige ransomware. Maar in veel gevallen is er betaald aan een tussenpartij die dan een paar dagen later een decryptor tevoorschijn weet te halen :+

[Reactie gewijzigd door Oon op 23 juli 2024 02:32]

Lagonas @betatester26 juli 2021 20:24
Waarom zou dat de enige mogelijkheid kunnen zijn? Het is een groot IT bedrijf. Op een gegeven moment lekt zoiets toch wel uit als het zo was. Verder is Kaseya volgens mij bezig om publiek te gaan. Dan zou zo een actie echt geen goeie zet zijn.
Caelestis @betatester27 juli 2021 03:32
Of een andere hacker groep die geïrriteerd was met de gevolgen.
Zou ook een verklaring kunnen zijn waarom de Reevil site offline ging.
Mogelijk zijn ze gehackt en compleet schoongeveegd waarna de decryptor via-via openbaar werd gemaakt.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq