Preporuke ZDNET-a temelje se na mnogim satima testiranja, istraživanja i usporedbe kupnje. Prikupljamo podatke iz najboljih dostupnih izvora, uključujući popise dobavljača i trgovaca, kao i druge relevantne i neovisne stranice za recenzije. Proučavamo recenzije kupaca kako bismo saznali što je važno stvarnim ljudima koji već posjeduju i koriste proizvode i usluge koje procjenjujemo.
Kada kliknete s naše stranice do trgovca i kupite proizvod ili uslugu, možemo zaraditi partnerske provizije. To pomaže u podršci našem radu, ali ne utječe na ono što pokrivamo ili na koji način i ne utječe na cijenu koju plaćate. Ni ZDNET ni autor ne dobivaju naknadu za te neovisne recenzije. Doista, slijedimo stroge smjernice koje osiguravaju da naš urednički sadržaj nikada ne bude pod utjecajem oglašivača.
Redakcija ZDNET-a piše u vaše ime, naš čitatelj. Naš cilj je isporučiti najtočnije informacije i što stručnije savjete kako bismo vam pomogli da donesete pametnije odluke o kupnji tehnološke opreme i širokog spektra proizvoda i usluge. Naši urednici temeljito pregledavaju i provjeravaju svaki članak kako bi osigurali da naš sadržaj zadovoljava najviše standarde. Ako smo pogriješili ili objavili pogrešne informacije, članak ćemo ispraviti ili pojasniti. Ako uočite netočnosti u našem sadržaju, prijavite pogrešku putem
ova forma.KaseyaMeđunarodno sjedište je u Dublinu, Irska, a sjedište tvrtke u SAD-u nalazi se u Miamiju, Florida. Dobavljač je prisutan u 10 zemalja.
Kaseya nudi IT rješenja uključujući VSA, objedinjeni alat za daljinsko praćenje i upravljanje za rukovanje mrežama i krajnjim točkama. Osim toga, tvrtka nudi sustave usklađenosti, servisne stolove i platformu za automatizaciju profesionalnih usluga.
Softver tvrtke dizajniran je imajući na umu poduzeća i pružatelje upravljanih usluga (MSP), a Kaseya kaže da više od 40.000 organizacija diljem svijeta koristi barem jedno Kaseya softversko rješenje. Kao pružatelj tehnologije MSP-ovima, koji opslužuju druge tvrtke, Kaseya je ključna u širem lancu nabave softvera.
Dana 2. srpnja u 14:00 EDT, kao što je ZDNet ranije izvijestio, Kaseya CEO objavio je Fred Voccola "potencijalni napad na VSA koji je ograničen na mali broj lokalnih korisnika."
U isto vrijeme, zbog pretjeranog opreza, Voccola je pozvao klijente da odmah zatvore svoje VSA poslužitelje.
"Kritično je da to učinite odmah jer je jedna od prvih stvari koje napadač učini isključivanje administrativnog pristupa VSA-u", rekao je izvršni direktor.
Kupci su bili obaviješten o kršenju putem e-pošte, telefona i online obavijesti.
Dok je Kaseyin tim za odgovor na incidente istraživao, dobavljač je također odlučio proaktivno ugasiti svoje SaaS poslužitelje i isključiti svoje podatkovne centre.
Do 4. srpnja tvrtka je revidirala svoja razmišljanja o ozbiljnosti incidenta, nazivajući se "žrtvom sofisticiranog kibernetičkog napada".
Stručnjaci za cyber forenziku iz FireEyeovog tima Mandiant, zajedno s drugim sigurnosnim tvrtkama, uključeni su u pomoć.
"Naši timovi za sigurnost, podršku, istraživanje i razvoj, komunikacije i klijente nastavljaju raditi danonoćno u svim zemljopisnim područjima kako bi riješili izdati i vratiti naše klijente na uslugu," rekao je Kaseya, dodajući da je potrebno više vremena prije nego što se njegovi podatkovni centri vrate natrag na liniji.
Nakon što SaaS poslužitelji budu operativni, Kaseya će objaviti raspored za distribuciju sigurnosne zakrpe on-prem klijentima.
U ažuriranju od 5. srpnja, Kaseya je rekla da je popravak razvijen i da će se najprije implementirati u SaaS okruženja, nakon što testiranje i provjere valjanosti budu dovršeni.
"Razvijamo novu zakrpu za lokalne klijente paralelno s obnovom SaaS podatkovnog centra", rekla je tvrtka. "Prvo implementiramo u SaaS jer kontroliramo svaki aspekt tog okruženja. Kada to započne, objavit ćemo raspored distribucije zakrpe za lokalne korisnike."
FBI opisao incident jezgrovito: "napad ransomware lanca opskrbe koji iskorištava ranjivost u Kaseya VSA softveru protiv više MSP-ova i njihovih kupaca."
lovica (1,2) je pratio 30 MSP-ova koji su bili uključeni u provalu i vjeruje s "velikom pouzdanošću" da je napad pokrenut ranjivošću zaobilaženja autentifikacije u Kaseya VSA web sučelju.
Prema tvrtki za kibernetičku sigurnost, to je omogućilo napadačima da zaobiđu kontrole autentifikacije, dobiju autentificiranu sesiju, učitavanje zlonamjernog sadržaja i izvršavanje naredbi putem SQL ubacivanja, postižući izvršenje koda u postupak.
Kyle Hanslovan, izvršni direktor i suosnivač Huntressa, rekao je sudionicima webinara koji je raspravljao o tehničkim aspektima napada 6. srpnja da su odgovorni akteri za prijetnje bili "ludo učinkoviti".
"Nema dokaza da su akteri prijetnji imali pojma kroz koliko su tvrtki ciljali VSA", komentirao je Hanslovan, dodajući da se čini da je incident više oblikovan zbog "utrke protiv vrijeme."
"Neke od funkcionalnosti VSA poslužitelja su implementacija softvera i automatizacija IT zadataka," primijetio je Sophos. "Kao takav, ima visoku razinu povjerenja na korisničkim uređajima. Infiltracijom u VSA poslužitelj svaki pripojeni klijent će bez pitanja izvršiti bilo koji zadatak koji VSA poslužitelj zatraži. Ovo je vjerojatno jedan od razloga zašto je Kaseya bila meta."
Prodavač je također osigurao dubinska tehnička analiza napada.
Sigurnosni stručnjak rekao je Kevin Beaumont da je ransomware gurnut putem automatiziranog, lažnog i zlonamjernog ažuriranja softvera pomoću Kaseya VSA nazvanog "Kaseya VSA Agent Hot-fix".
"Ovo lažno ažuriranje zatim se postavlja diljem imanja -- uključujući sustave klijenata MSP klijenata -- jer [je] lažno ažuriranje agenta za upravljanje", komentirao je Beaumont. "Ovo ažuriranje agenta za upravljanje zapravo je REvil ransomware. Da budemo jasni, to znači da su organizacije koje nisu Kaseyini kupci i dalje šifrirane."
Uz dojavu RiskIQ-a, Huntress također istražuje AWS IP adresu koja je možda korištena kao početna točka za napad.
Dana 5. srpnja Kaseya je izdala an pregled napada, koji je započeo 2. srpnja s izvješćima o postavljanju ransomwarea na krajnje točke.
"U svjetlu ovih izvješća, izvršni tim se sastao i donio odluku da se poduzmu dva koraka kako bi se pokušalo spriječiti širenje bilo kakvog zlonamjernog softvera: poslali smo obavijesti lokalnim korisnicima da isključe svoje VSA poslužitelje i ugasili smo našu VSA SaaS infrastrukturu," kaže tvrtka.
Prema tvrtki, napadači su iskoristili ranjivosti nultog dana za pokretanje zaobilazne autentifikacije i za izvršenje koda, što im je omogućilo da zaraze krajnje točke ransomwareom. Međutim, Kaseya naglašava da nema dokaza da je VSA kodna baza "zlonamjerno modificirana".
Wietse Boonstra, istraživač Nizozemskog instituta za otkrivanje ranjivosti (DIVD), prethodno identificirani niz ranjivosti, praćenih kao CVE-2021-30116, koje su korištene u napadima ransomwarea. Prijavljeni su u skladu s paktom o koordiniranom otkrivanju ranjivosti.
"Kada je Kaseya postala svjesna naših prijavljenih ranjivosti, bili smo u stalnom kontaktu i suradnji s njima. Kada su stavke u našem izvješću bile nejasne, postavljali su prava pitanja", kaže DIVD. "Također, s nama su podijeljeni djelomični zakrpe kako bismo potvrdili njihovu učinkovitost. Tijekom cijelog procesa, Kaseya je pokazala da je bila voljna uložiti maksimalan trud i inicijativu u ovaj slučaj kako bi riješila problem i zakrpala svoje klijente. "
Tijekom vikenda, Kaseya je rekao da korisnici SaaS-a "nikad nisu bili u opasnosti", a trenutne procjene pokazuju da je pogođeno manje od 40 on-prem klijenata diljem svijeta.
Međutim, treba napomenuti da je mali broj klijenata Kaseye možda bio izravno zaraženi, kao MSP-ovi, mali i srednji korisnici niže u lancu koji se oslanjaju na ove usluge mogli bi biti pogođeni njihov red.
Prema na izvješća, 800 lanaca supermarketa Coop u Švedskoj moralo je privremeno zatvoriti jer nisu mogli otvoriti svoje blagajne.
Huntress je rekla u a Reddit objašnjenje da je procijenjeno da je oko 1000 tvrtki imalo šifrirane poslužitelje i radne stanice. Prodavač je dodao da je razumno sugerirati da je to moglo utjecati na "tisuće malih poduzeća".
"Ovo je jedan od najdalekosežnijih kriminalnih ransomware napada koje je Sophos ikada vidio", komentirao je Ross McKerchar, potpredsjednik Sophosa. "U ovom trenutku naši dokazi pokazuju da je više od 70 pružatelja upravljanih usluga bilo pogođeno, što je rezultiralo s više od 350 dodatno pogođenih organizacija. Očekujemo da će puni opseg organizacija žrtava biti veći od onoga što je prijavila bilo koja pojedinačna zaštitarska tvrtka."
5. srpnja Kaseya revidirane prethodne procjene na "manje od 60" kupaca, dodajući da "razumijemo da je ukupni utjecaj do sada bio na manje od 1500 nizvodnih poduzeća."
Sada, 6. srpnja, procjena ima između 50 izravnih kupaca i između 800 i 1500 tvrtki nizlje u lancu.
Kad je riječ o SaaS okruženjima, Kaseya kaže: "Nismo pronašli dokaze da je bilo koji od naših SaaS korisnika bio ugrožen."
U priopćenje za javnost od 6. srpnja, Kaseya je inzistirala da "iako je utjecao na približno 50 Kaseyinih kupaca, ovaj napad nikada nije predstavljao prijetnju niti je imao ikakav utjecaj na kritičnu infrastrukturu."
Broj ranjivih poslužitelja Kaseya online, vidljivih i otvorenih za napadače pao je za 96% s otprilike 1500 2. srpnja na 60 8. srpnja, prema Palo Alto Networksu.
Ransomware je vrsta zlonamjernog softvera specijalizirana za enkripciju datoteka i diskova.
U onome što je postalo jedan od najtežih i najozbiljnijih sigurnosnih problema s kojima se moderna poduzeća sada suočavaju, akteri prijetnji širom svijeta koriste ransomware za otimanje sustava i prekid operacija.
Nakon što je žrtvin sustav ili mreža šifrirana, kibernetički kriminalci će staviti poruku o otkupnini na sustav, zahtijevajući plaćanje u zamjenu za ključ za dešifriranje (koji može, ali ne mora, raditi).
Današnji operateri ransomwarea mogu biti dio Ransomware-as-a-Service (RaaS), kada se 'pretplate' za pristup i korištenje određene vrste ransomwarea. Još jedan novi trend je dvostruka iznuda, u kojoj će žrtvi biti ukradeni njezini podaci tijekom racije ransomwarea.
Ako odbiju platiti, mogli bi se suočiti s mogućnošću da se njihovi podaci prodaju ili objave na internetu.
Uobičajene i dobro poznate obitelji ransomwarea uključuju REvil, Locky, WannaCry, Gandcrab, Cerber, NotPetya, Maze i Darkside.
Nastavi čitati:Što je ransomware? Sve što trebate znati o jednoj od najvećih prijetnji na webu
Vidi također:
- Napadi ransomwarea povećavaju stope reosiguranja u kibernetičkom prostoru za 40%
- Ransomware: ovaj novi besplatni alat omogućuje vam testiranje je li vaša kibernetička sigurnost dovoljno jaka da zaustavi napad
- Ovaj veliki napad ransomwarea spriječen je u posljednjem trenutku. Evo kako su to uočili
Cybernapad se pripisuje REvil/Sodinikibi ransomware grupa, koja je preuzela odgovornost na svom mjestu curenja podataka iz Dark Weba, "Happy Blog".
U ažuriranju tijekom vikenda, operateri, za koje se vjeruje da imaju veze s Rusijom, tvrdili su da je više od "milijun" sustava zaraženo.
REvil je ponudio ključ za dešifriranje, koji je navodno univerzalan i stoga može otključati sve šifrirane sustave, po 'bagatelnoj' cijeni od 70 milijuna dolara u kriptovaluti bitcoin (BTC).
REvil je ranije povezivan s ransomware napadima na tvrtke, uključujući JBS, Travelex i Acer.
The ransomware bilješka tvrdi da su datoteke "šifrirane i trenutno nedostupne." Navodno je korištena ekstenzija datoteke .csruj. Operateri traže plaćanje u zamjenu za ključ za dešifriranje, a jedna 'besplatna' dešifriranje datoteke također je na stolu kako bi se dokazalo da ključ za dešifriranje radi.
Operatori dodaju (pravopis nepromijenjen):
“To je samo posao. Apsolutno nam nije stalo do vas i vaših poslova, osim do dobivanja pogodnosti. Ako mi ne radimo svoj posao i obveze - nitko neće s nama surađivati. Nije u našem interesu. Ako ne želite surađivati s našim servisom -- za nas to nije važno. Ali izgubit ćete svoje vrijeme i podatke, jer samo mi imamo privatni ključ. U praksi – vrijeme je puno vrednije od novca.”
Sophosov analitičar zlonamjernog softvera Mark Loman podijelio je snimak zaslona na Twitteru o poruci ransomwarea postavljenoj na zaraženu krajnju točku koja zahtijeva 44.999 dolara.
John Hammond, viši sigurnosni istraživač u Huntressu, rekao je za ZDNet da je tvrtka već primila zahtjeve za otkupninom do 5 milijuna dolara.
Kevin Beaumont kaže da, nažalost, on je promatrao žrtve "žalosno pregovara" s operaterima ransomwarea.
Fabian Wosar, tehnički direktor Emsisofta, također je objasnio u Twitter niti zašto upotreba ključa koju je dobila jedna organizacija koja plaća nije vjerojatno održiv put za otključavanje svih žrtava.
"REvil apsolutno ima sposobnost dešifriranja samo jedne žrtve bez kupnje ovih alati za dešifriranje primjenjivi za druge žrtve pogođene istim javnim ključem kampanje", sigurnost primijetio je stručnjak.
Izvještava CNBC da je univerzalni zahtjev za otkupninu smanjen na 50 milijuna dolara u privatnim razgovorima. Međutim, od 7. srpnja, javni zahtjev za 70 milijuna dolara na mjestu curenja podataka grupe prijetnji ostaje nepromijenjen.
U trenutku kršenja, Kaseya je obavijestila agencije za provođenje zakona i kibernetičku sigurnost, uključujući Federalni istražni ured (FBI) i Američka agencija za kibernetičku sigurnost i sigurnost infrastrukture (CISA).
FBI i CISA su objavili zajedničku izjavu o sigurnosnom incidentu i pozivaju kupce da pokreću alat koji nudi Kaseya kako bi utvrdili rizik od iskorištavati te omogućiti i nametnuti multifaktorsku autentifikaciju (MFA) na poslovnim računima, gdje god moguće.
Kaseya je održavao sastanke s FBI-em i CISA-om "kako bi razgovarali o zahtjevima za učvršćivanje sustava i mreže prije ponovne uspostave usluge i za SaaS i za lokalne korisnike."
The bijela kuća traži od organizacija da obavijeste Internet Crime Complaint Center (IC3) ako sumnjaju da su kompromitirane.
U subotu je američki predsjednik Biden rekao da je upravljao saveznom obavještajnom službom agencije za istraživanje.
"Ciljanje [na] MSP platformu (koja upravlja mnogim klijentima odjednom) bilo je vrlo dobro osmišljeno i planirano", rekao je Amit Bareket, izvršni direktor Perimeter 81, za ZDNet. "Ono što je jedinstveno jest to da hakeri postaju strateški sve više ciljane platforme koje će se jednim udarcem filtrirati do mnogih tvrtki. RMM-ovi [daljinski nadzor i upravljanje] u osnovi su ključevi za mnoge mnoge tvrtke, koje predstavljaju kraljevstvo loših aktera."
Bijela kuća je pokušala ojačati svoj stav o cyber kriminalu u svjetlu ovog napada, upozoravajući ruskog predsjednika Vladimira Putina da ćemo, osim ako se ne pozabavi problemom u vlastitom dvorištu, "poduzeti akciju ili zadržati pravo da sami poduzmemo akciju".
Od 4. srpnja, Kaseya kaže da je tvrtka sada prešla s analize uzroka napada na oporavak i planove zakrpa, koji se sastoje od:
- Komunikacija našeg plana oporavka u fazama sa SaaS-om, nakon čega slijede lokalni korisnici.
- Kaseya će objaviti sažetak napada i onoga što smo učinili da ga ublažimo.
- Neke slabo korištene naslijeđene VSA funkcionalnosti bit će uklonjene kao dio ovog izdanja zbog pretjeranog opreza. Određeni popis funkcionalnosti i njezin utjecaj na VSA mogućnosti bit će navedeni u bilješkama o izdanju.
- Bit će implementirane nove sigurnosne mjere uključujući poboljšani sigurnosni nadzor naših SaaS poslužitelja od strane FireEye i omogućavanje poboljšanih WAF mogućnosti.
- Uspješno smo dovršili vanjsko skeniranje ranjivosti, provjerili naše SaaS baze podataka za pokazatelje kompromisa, a vanjski stručnjaci za sigurnost pregledali su naš kod kako bi osigurali uspješnu uslugu ponovno pokretanje.
Podatkovni centri počevši od EU-a bit će obnovljeni, zatim sustavi UK-a, APAC-a, a zatim Sjeverne Amerike.
Do kasno navečer 5. srpnja, Kaseya je rekao da je zakrpa razvijena i da je namjera tvrtke vratiti VSA s "postupnom funkcionalnošću" kako bi se ubrzao proces. Tvrtka je objasnila:
- Prvo izdanje spriječit će pristup funkcionalnosti koju koristi vrlo mali dio naše baze korisnika, uključujući:
- Klasična prodaja ulaznica
- Klasični daljinski upravljač (ne LiveConnect).
- Korisnički portal
Kaseya je sada objavila ažuriranu vremensku liniju za svoje napore obnove, počevši od ponovnog pokretanja SaaS poslužitelja, sada postavljenog za 6. srpnja, 16:00 EDT i 19:00 EDT. Uslijedit će promjene konfiguracije za poboljšanje sigurnosti, uključujući lokalnu zakrpu, za koju se očekuje da će stići za 24 sata, ili manje, od trenutka kada se SaaS poslužitelji vrate na mrežu.
"Usredotočeni smo na smanjenje ovog vremenskog okvira na najmanju moguću mjeru - ali ako se otkriju bilo kakvi problemi tijekom razvoja SaaS-a, želimo ih popraviti prije nego što pokrenemo naše lokalne klijente," tvrtka kaže.
Dodatna sigurnosna poboljšanja uključuju stvaranje 24/7 SOC-ova za VSA, kao i besplatni CDN s vatrozidom web aplikacije (WAF) za svaki VSA.
Ažuriranje 7. srpnja: Vremenski okvir nije ispunjen. Kaseya je rekao da je "otkriven problem koji je blokirao izdanje" VSA SaaS rollouta.
"Ispričavamo se zbog kašnjenja, a istraživanje i razvoj i operacije nastavljaju raditi danonoćno kako bi riješili ovaj problem i obnovili uslugu", komentirao je Kaseya.
U ažuriranju usluge, dobavljač je rekao da nije uspio riješiti problem.
"Timovi za istraživanje i razvoj i operacije radili su cijelu noć i nastavit će raditi dok ne deblokiramo izdanje", dodao je Kaseya.
7. srpnja, 12 sati EDT:
Kaseya se nada da će riješiti uvođenje SaaS sustava najkasnije do večeri u četvrtak, 8. srpnja. Trenutačno se piše priručnik koji bi trebao biti objavljen danas, a koji će pružiti smjernice pogođenim tvrtkama za implementaciju nadolazeće on-prem VSA zakrpe.
Od 8. srpnja Kaseya je objavila dvije knjige trčanja, "VSA SaaS Vodič za početak," i "Lokalni VSA vodič za spremnost za pokretanje," za pomoć klijentima u pripremi za povratak na uslugu i implementaciju zakrpa.
Oporavak, međutim, traje duže nego što se isprva očekivalo.
"U procesu smo ponovnog postavljanja vremenskih rokova za VSA SaaS i VSA On-Premises implementaciju", kaže tvrtka. "Ispričavamo se zbog kašnjenja i promjena planova dok rješavamo ovu promjenjivu situaciju."
U drugi video poruka koju je snimio izvršni direktor tvrtke, Voccola je rekao:
"Činjenica da smo morali srušiti VSA je za mene vrlo razočaravajuća, to je vrlo razočaravajuće za mene osobno. Osjećam se kao da sam iznevjerio ovu zajednicu. Ja sam iznevjerio svoju tvrtku, naša je tvrtka iznevjerila tebe. [..] Ovo nije BS, ovo je stvarnost."
Novo vrijeme izdanja za VSA je nedjelja, u popodnevnim satima, po istočnom vremenu, kako bi se također ojačao softver i pojačala njegova sigurnost prije implementacije.
12. srpnja: Kaseya sada ima izdao zakrpu i radi s lokalnim korisnicima na postavljanju sigurnosnog popravka. Sada je 100% svih SaaS korisnika uživo, prema tvrtki.
"Naši timovi za podršku nastavljaju raditi s VSA lokalnim korisnicima koji su zatražili pomoć s zakrpom", dodao je Kaseya.
Kaseya je izdala alat, uključujući Indicators of Compromise (IoC), koji se može preuzet preko Boxa. Postoje dvije PowerShell skripte za korištenje: jedna na VSA poslužitelju, a druga je dizajnirana za skeniranje krajnje točke.
Skripte za samoprocjenu treba koristiti u izvanmrežnom načinu rada. Ažurirani su 5. srpnja kako bi također skenirali enkripciju podataka i REvilovu poruku o otkupnini.
Međutim, skripte služe samo za potencijalno otkrivanje rizika od iskorištavanja i nisu sigurnosni popravci. Kaseya će objaviti zakrpe što je brže moguće, ali u međuvremenu korisnici jednostavno moraju pričekati nedjelju.
Kaseya namjerava vratiti kupce na mrežu 11. srpnja u 16:00 EDT.
"Svi lokalni VSA poslužitelji trebali bi i dalje ostati izvan mreže do daljnjih uputa Kaseye o tome kada je sigurno vratiti rad", rekla je tvrtka. "Prije ponovnog pokretanja VSA bit će potrebno instalirati zakrpu."
Cado Sigurnost je osigurao GitHub repozitorij za osobe koje odgovaraju, uključujući uzorke zlonamjernog softvera, IoC-ove i Yara pravila.
Truesec CSIRT također ima izdao scenarij na GitHubu za prepoznavanje i ublažavanje štete na zaraženim sustavima.
Kaseya je također upozorio da prevaranti pokušavaju iskoristiti situaciju.
"Pošiljatelji neželjene pošte koriste vijesti o incidentu Kaseya za slanje lažnih obavijesti e-poštom koje izgledaju kao ažuriranja Kaseye. Ovo su phishing poruke e-pošte koje mogu sadržavati zlonamjerne poveznice i/ili privitke.
Nemojte klikati na poveznice niti preuzimati priloge koji tvrde da su Kaseya savjeti."
Nakon što je Biden jasno iznio svoj stav Putinu o bandama ransomwarea, mjesto curenja informacija grupe REvil ransomware je zaplijenili i skinuli od strane organa za provođenje zakona.
Uklanjanje je uključivalo REvilovu stranicu za plaćanje, javnu domenu, platformu za chat desk za pomoć i portal za pregovore.
Iako je namjera bila osigurati neki oblik kontrole nad grupom, treba napomenuti da operateri ransomwarea često zatvaraju stranice, mijenjaju brend i ponovno se okupljaju.
Nuspojava uklanjanja je da su uklanjanje pregovaranja i mogućnost kupnje ključa za dešifriranje ostavili žrtvama nepopravljive sustave. Jedna žrtva koja platio ključ za dešifriranje -- koji na kraju nije funkcionirao -- sada je bez džepa i ne može osigurati pomoć kibernetičkih kriminalaca.
Dana 22. srpnja god. rekla je Kaseya da je tvrtka uspjela osigurati ključ za dešifriranje. Ključ za dešifriranje dobiven od strane "treće strane" uspješno je testiran u okruženjima žrtve -- a prijedlog je da bi ključ za dešifriranje mogao biti univerzalan.
Tvrtka surađuje s Emsisoftom kako bi doprla do kupaca koji još uvijek pate zbog zaključanih sustava i kojima je potreban ključ za dešifriranje.
"I dalje smo predani osiguravanju najviše razine sigurnosti za naše klijente i nastavit ćemo ažurirati ovdje kako više detalja bude dostupno", rekla je Kaseya. "Predstavnici Kaseye kontaktirat će kupce na koje je utjecao ransomware."
Kaseya je odbio plaćanje za ključ za dešifriranje.