Kaseya denies ransomware payment as it hails ‘100% effective’ decryption tool
2021/07/27 DailySwig — Kaseya は、一連のランサムウェア攻撃の被害者に対して、復号化ツールを提供し続けているが、サイバー犯罪組織 REvil に身代金を支払ったという噂を否定した。7月2日に始まった、このソフトウェア・サプライチェーン攻撃は、IT マネジメント・プラットフォームである Kaseya VSA のハッキングを介して、最大で 1,500とも言われる組織に影響を与えたと考えられる。7月22日に Kaseya は、サードパーティから復号化ツールを入手し、アンチ・マルウェアの専門家である Emsisoft の協力を得て、影響を受けた組織の環境を復旧していることを明らかにした。
囁かれる憶測
しかし、Recorded Future CSIRT Team の Allan Liska は、不満を持った REvil のアフィリエイトもしくは、ロシア政府、または Kaseya 自身が身代金を支払ったと考えている。7月13日に、REvil に関連するダーク・ウェブ・ドメインが突然オフラインになったことで、法執行機関の活動によりユニバーサル・デクリプタ・キーが利用可能になったという説が強まった。その一方で、専門家の中には、食肉大手の JBS や Travelex など犠牲者にしてきた REvil が、法の執行を逃れるためにブランドを再構築するという、前哨戦の最中にあるという説を唱えるものもいる。
機密保持契約
このサイバー犯罪組織は Kaseya に対して、当初は $70 million の支払いを要求していたと考えられる、その後は $50 million に引き下げている。伝えられるところによると、Kaseya は秘密保持契約に署名することを条件に、顧客である企業に足しして復号キーへのアクセスを許可しているが、7月26日の声明において身代金に関する噂に言及した。
「最近の報道では、Kaseya が身代金を支払ったかどうかについて沈黙を続けていることが、さらなるランサムウェア攻撃を助長するのではないかと示唆されているが、それは当社の考え方とかけ離れている。身代金の支払いについては、それぞれの企業が独自に判断すべきことだが、Kaseya は専門家との協議の結果、この攻撃を行った犯罪者と交渉しないことを決定し、その約束を変えることはなかった。そのため、Kaseya が復号キーを手に入れるために、直接的にも間接的にも、身代金を支払っていないことをハッキリさせたい」と述べている。
Kaseya は、「この復号化ツールは、攻撃で完全に暗号化されたファイルの復号において、100% の効果があることが証明された。当社は、要求のあった顧客に復号かツールを提供し続けている。攻撃でデータが暗号化された可能性のある全ての顧客に対して、Kaseya に連絡することを推奨している」と述べている。
さらなるゼロデイ
その一方で、REvil に悪用された Kaseya のゼロデイ脆弱性を着付けだしたセキュリティ研究者は、別の Kaseya 製品にある3つのゼロデイ脆弱性を開示した。Dutch Institute for Vulnerability Disclosure (DIVD) は、Kaseya VSA のアドオンとして提供されるクラウドベースの Kaseya Unitrends のユーザー対して、パッチがリリースされるまでサービスをインターネットに公開しないようアドバイスしている。
また、先週には Huntress Labs が、偽のソフトウェア・アップデートを介して60もの上流マネージド・サービス・プロバイダの顧客を危険にさらしたことが、より悲惨な結果にならなかった理由を推測する、ブログ記事を発表した。セキュリティ研究者である John Hammond は、Kaseya のシステムが停止したことが最大の問題だとする考えを否定し、Colonial Pipeline のようなインシデントの影響により、政府の介入を招くかもしれないと、脅威アクターが学習した結果だと捉えているようだ。
Kaseya に起こったサイバー侵害は、かなりの衝撃度で、どうなってしまうのかと、多くの人々が思ったことでしょう。ただ、その後の展開を見ていると、SolaWinds ほど燃え盛ることもなく、収束へ向けて進んでいるように感じます。背景には、米国とロシアの政治的な対峙があり、脅威アクターに対して様々な圧力があるのかとも思います。その一方で、身代金に関しては、Kaseya が内緒で支払ったというのが有力ですが、米国の圧力によりロシア政府が支払ったという推測もあるようです。よく分からないのが、不満を持った REvil のアフィリエイトが支払ったという説で、リンク先の Twitter を見ると、REvil からの支払いが滞ったからと書いてあります。でも、なんか変ですね。
IoT OT Security News 