Kaseya nega di aver pagato un riscatto per il decryptor, rifiuta di commentare la NDA

La società di software Kaseya ha negato di aver pagato un riscatto per un decryptor universale dopo giorni di domande persistenti su come è stato ottenuto lo strumento.

Il 21 luglio l'azienda ha annunciato che è stato ottenuto uno strumento di decrittazione universale "da un terzo". Stavano lavorando con la società di sicurezza Emsisoft per aiutare le vittime dell'espansione incontrollata attacco ransomware.

Lunedì, Kaseya ha rilasciato una dichiarazione smentendo le voci secondo cui avrebbero pagato un riscatto a REvil, il gruppo di ransomware che ha lanciato l'attacco. REvil inizialmente pubblicò a richiesta di riscatto di 70 milioni di dollari ma secondo quanto riferito lo hanno abbassato a 50 milioni di dollari prima dell'intera operazione si è oscurato il 13 luglio.

"Stiamo confermando senza mezzi termini che Kaseya non ha pagato un riscatto - né direttamente né indirettamente tramite terzi - per ottenere il decryptor", si legge nella dichiarazione di Kaseya.

"Mentre ogni azienda deve prendere la propria decisione se pagare il riscatto, Kaseya ha deciso dopo essersi consultata con esperti a non negoziare con i criminali che hanno perpetrato questo attacco, e non abbiamo esitato a farlo impegno."

La dichiarazione prosegue affrontando i rapporti che suggeriscono che il loro "continuo silenzio sul fatto che Kaseya abbia pagato il riscatto potrebbe incoraggiare ulteriori attacchi ransomware".

Secondo la dichiarazione, Emsisoft e il team di Incident Response di Kaseya hanno lavorato durante tutto il fine settimana, fornendo il decryptor ad alcune delle 1500 vittime colpite dall'attacco, incluso un una delle principali catene di supermercati svedesi, Università tecnologica della Virginia e i computer del governo locale Leonardtown, Maryland.

La società ha affermato che sta incoraggiando eventuali vittime a farsi avanti, aggiungendo che lo strumento "si è dimostrato efficace al 100% nel decrittografare i file che erano stati completamente crittografati durante l'attacco".

Mentre centinaia di vittime colpite hanno accolto con favore la notizia di un decryptor universale, alcuni l'hanno notato era un accordo di non divulgazione che Kaseya costringeva le aziende a firmare in cambio del decrittatore.

La CNN ha confermato che Kaseya ha richiesto l'accordo di non divulgazione per poter accedere al decryptor. Lo hanno detto la portavoce di Kaseya Dana Liedholm e diverse società di sicurezza informatica coinvolte ZDNet non sono stati in grado di commentare l'accordo di non divulgazione.

L'ex Chief Information Officer della Casa Bianca ed esperta di sicurezza informatica Theresa Payton ha affermato accordi di non divulgazione dopo gli attacchi sono più comuni di quanto si pensi, ma ha osservato che "chiedere una NDA alle vittime non è una pratica quotidiana, per ogni incidente".

"Quando un incidente informatico colpisce più vittime in un attacco alla catena di fornitura, a volte lo fa il consulente legale chiedere alle vittime di firmare una NDA per garantire che la soluzione al problema non venga divulgata pubblicamente," Payton disse.

Payton ha aggiunto che le ragioni alla base della richiesta di un accordo di non divulgazione non sono sempre nefaste e ha esortato le aziende a consultare i propri avvocati prima di firmare qualsiasi cosa.

"Se il motivo alla base della NDA è garantire che la terza parte che ha fornito la chiave non venga divulgata e il il modo in cui la decrittazione viene resa disponibile non viene divulgato, allora la NDA ha molto senso," Payton detto ZDNet.

"Non vogliamo rivelare pubblicamente gli operatori informatici dietro nessuno dei sindacati di ransomware. Dobbiamo tenere nel dubbio i malvagi operatori informatici. Se la NDA non è per questo motivo ma è invece una manovra legale per evitare azioni legali, ciò è deludente. Dato il grande impatto, è comprensibile il motivo per cui i loro consulenti legali potrebbero raccomandare la NDA per la protezione legale." 

Mark Kedgley, CTO di New Net Technologies, ha affermato che si tratta di una serie di circostanze estremamente rare considerando che Kaseya è sia il venditore sfruttato che il fornitore del kit di decrittazione.

Ha aggiunto che la NDA "aiuterà a diminuire ulteriori analisi e discussioni sull'attacco".

"Sebbene si possa vedere che ciò sarebbe auspicabile per Kaseya, non favorirà la comprensione della violazione da parte della comunità della sicurezza informatica", ha affermato Kedgley.