Kaseya 勒索软件噩梦即将结束

一种解密工具已经出现，这意味着任何系统仍处于锁定状态的受害者都可以很快松口气。

目前还不清楚解密工具的来源——以及对于大多数受害者来说是否太少、太晚。

照片：霍华德乔治/盖蒂图片社

近三周此前，针对一家名为 Kaseya的鲜为人知的 IT 软件公司的勒索软件攻击 演变成一场全面流行，黑客夺取了多达 1,500 家企业的计算机，其中包括一家瑞典大型杂货连锁店。上周，黑客背后臭名昭著的组织从互联网上消失了，让受害者无法支付和释放他们的系统。但现在情况似乎接近最终得到解决，这要归功于周四意外出现的通用解密工具。

7 月 2 日的黑客攻击与现在一样糟糕。Kaseya 提供的 IT 管理软件在所谓的托管服务提供商 (MSP) 中很受欢迎，这些公司为不愿自己处理 IT 基础设施的公司提供 IT 基础设施。通过利用名为 Virtual System Administrator 的以 MSP 为重点的软件中的一个漏洞，勒索软件组织 REvil 不仅能够感染这些目标，还能够感染他们的客户，从而导致一波毁灭性的浪潮。

在接下来的几周里，受害者实际上有两个选择：支付赎金以恢复他们的系统或重建通过备份丢失的内容。对于许多个体企业，REvil 将赎金定为大约 45,000 美元。它试图以高达 500 万美元的价格动摇 MSP。它还最初将通用解密器的价格定为 7000 万美元。该集团后来在消失之前降至 5000 万美元，可能是为了在紧张局势期间保持低调。当他们消失时，他们带走了他们的支付门户。受害者被搁浅，即使他们愿意也无法支付。

Kaseya 发言人 Dana Liedholm 向 WIRED 证实，该公司从“受信任的第三方”那里获得了通用解密器，但她没有详细说明是谁提供的。Liedholm 在一封电子邮件声明中说：“我们有一个团队积极与受影响的客户合作，并将分享更多关于我们将如何在这些细节可用时进一步提供该工具的信息，”并补充说已经开始与受害者接触，在防病毒公司 Emsisoft 的帮助下。

Emsisoft 威胁分析师 Brett Callow 在一份声明中表示：“我们正在与 Kaseya 合作以支持他们的客户参与工作。” “我们已确认该密钥可有效解锁受害者，并将继续为 Kaseya 及其客户提供支持。”

安全公司 Mandiant 一直在与 Kaseya 合作进行更广泛的修复，但当被要求进一步明确谁提供解密密钥以及有多少受害者仍然需要它时，Mandiant 发言人将 WIRED 转回 Liedholm。

释放所有保持加密的设备的能力无疑是个好消息。但此时留下来帮助的受害者人数可能只占最初浪潮的一小部分。“解密密钥可能对某些客户有帮助，但可能为时已晚，”安全公司 BreachQuest 的首席技术官杰克威廉姆斯说，该公司有多个客户在 REvil 活动中受到打击。那是因为任何可以通过备份、付款或其他方式重建数据的人，现在很可能已经这样做了。“它可能最有帮助的情况是加密系统上有一些独特的数据，而这些数据根本无法以任何方式进行有意义的重组，”威廉姆斯说。“在这些情况下，如果数据很重要，我们建议这些组织立即支付解密密钥的费用。”

许多 REvil 受害者是中小型企业；作为 MSP 客户，他们显然是喜欢将其 IT 需求外包的类型——这反过来意味着他们可能不太可能拥有现成的可靠备份。尽管如此，还有其他方法可以重建数据，即使这意味着要求客户和供应商发送他们拥有的任何内容并从头开始。“不太可能有人对钥匙抱有希望，”威廉姆斯说。

对于剩下的落伍者来说，今天的消息可能预示着长达数周的磨难即将结束。然而，它并没有缓解对勒索软件威胁或 Kaseya 活动所代表的更广泛的担忧。近几个月来，Darkside 和 REvil 等组织及其附属组织（他们向主要运营商提供收益的一部分以换取恶意软件的访问权限）在其攻击的广度和深度方面变得越来越大胆。在 Kaseya 之前，REvil 关闭了食品供应巨头 JBS。在 JBS 之前，Darkside 中断了 Colonial Pipeline，切断了东海岸的大部分燃料供应。

与 REvil 一样，Darkside 在法律和政治压力越来越大的情况下消失了。但对这些袭击负责的人尚未确定或起诉，更不用说被捕了。安全研究人员普遍同意，它们重新出现只是时间问题，可能以不同的名称但采用相同的残酷策略。最新的勒索软件恐慌似乎已解决。下一个可能已经在进行中。

 微信扫码关注获取更多精彩内容