Kaseya verfügt über universellen Decryptor für REvil-Ransomware

Der US-Softwareentwickler Kaseya, dessen VSA-Software zuletzt für die Verbreitung von Ransomware benutzt wurde, hat ein universelles Entschlüsselungstool für die REvil-Ransomware erhalten. Das bestätigte Dana Liedholm, Senior Vice President bei Kaseya, im Gespräch mit BleepingComputer. Der Decryptor wird demnach nun allen Kunden des Unternehmens zur Verfügung gestellt.

“Wir können bestätigen, dass wir einen Decryptor von einem vertrauenswürdigen Dritten erhalten haben, über die Quelle können wird aber nichts mitteilen”, sagte Liedholm. “Wir haben das Tool durch einen weiteren Dritten prüfen lassen und haben mit der Verteilung an betroffene Kunden begonnen.”

Dem Bericht zufolge soll das Tool in der Lage sein, die Daten aller Unternehmen zu entschlüsseln, die von dem Angriff betroffen sind. Da einige Kunden von Kaseya Managed Service Provider sind, fand die REvil-Ransomware über sie auch ihren Weg zu deren Kunden.

Ob ein Lösegeld für das Tool bezahlt wurde, ließ Kaseya indes offen. Dies könne weder bestätigt noch dementiert werden.

Der Sicherheitsanbieter Emisoft bestätigte indes, dass er das Entschlüsselungstool im Auftrag von Kaseya geprüft habe. “Wir arbeiten mit Kaseya zusammen, um deren Kunden zu unterstützen. Wir haben bestätigt, dass der Schlüssel funktioniert und die Opfer freischaltet”, wird Emisoft-CTO Fabian Wosar zitiert.

Die Hintermänner der REvil-Ransomware waren zuletzt abgetaucht. Ihre Websites im Darknet wurden abgeschaltet – auch die Support-Seite war nicht mehr erreichbar.

Die Sicherheitslücke in der VSA-Software, die die Cybererpresse für ihre Zwecke benutzt haben, wurde in der vergangenen Woche gepatcht. Die Schwachstelle erlaubte es, ohne vorherige Authentifizierung aus der Ferne Schadcode einzuschleusen und auszuführen.