リモートマネジメントソフトウェアベンダーのKaseyaは、REvilランサムウェア用のユニバーサル復号ツールを入手し、7月2日に同社のオンプレミスVSAサーバを標的とした大規模なランサムウェア攻撃を受けて、顧客が暗号化されたデータを復旧するための支援を開始したと発表しました。
REvil、史上最大のランサムウェア攻撃まとめ:Kaseya社のソフトウェアアップデートを利用。1500以上の企業が被害か
Kaseyaの広報担当者は「信頼できるサードパーティ」から復号器を入手したとのことで、復号ツールが正常に動作することを確認し、影響を受けたお客様への提供を開始したとのことです。
7月6日のアップデートで、KaseyaのCEOは、同社の直接の顧客であるVSAサーバのユーザのうち、約60社が7月2日の攻撃で影響を受けたと述べています。
ハッカーは、ゼロデイを利用してKaseya VSAオンプレミスサーバにアクセスし、その後、VSAソフトウェアを通じて管理されているワークステーションにランサムウェア「REvil」を展開し、ファイルを暗号化しました。
Kaseyaの顧客のほとんどはマネージドサービスプロバイダであり、自社の顧客にITサポートを提供する企業であるため、Kaseyaは、7月2日の攻撃で影響を受けた企業の数は、同社の推定によれば、800~1,500社である可能性が高いと述べています。
攻撃の2日後、REvilランサムウェアグループは、約1,500の顧客すべてと同時に身代金の支払いを交渉することができなかったため、すべての被害者からファイルを復元するためのユニバーサル復号ツールのために79億円=7,000万ドルの支払いを要求しました。
支払いを要求してから9日後の7月13日、REvilはすべてのサーバーインフラを停止し、フォーラムやダークウェブから姿を消しました。そのため、攻撃を受けた多くの企業はパニックに陥り、個別の復号化ツールにお金を払ってもデータを復旧できない状況に陥った企業も少なくありませんでした。
Kaseyaが身代金要求を裏ルートの交渉によってREvilグループに支払ったのか、REvilグループが復号ツールを無料で提供したのか、あるいは復号ツールをセキュリティ企業や法執行機関が別の手段で入手したのかは不明です。
Comments