Kaseya-Opfer kämpfen nach REvil-Shutdown mit Entschlüsselung

Mindestens ein Opfer der Ransomware-Gruppe REvil, das über die Sicherheitslücke in der VSA-Software von Kaseya infiziert wurde, hat offenbar Probleme, trotz Lösegeldzahlung seinen Dateien zu entschlüsseln. Grund dafür ist, dass die Hintermänner der REvil-Ransomware alle Aktivitäten eingestellt haben und auch die für solche Fälle eingerichtete Support-Seite nicht mehr erreichbar ist.

Von dem Vorfall berichtet Mike Hamilton, CISO bei Critical Insight, dass Lösegeldverhandlungen mit Cybererpressern führt. Er erklärte gegenüber ZDNet.com, dass das Unternehmen das Lösegeld bezahlt und die Entschlüsselungsschlüssel von REvil erhalten habe, aber festgestellt habe, dass sie nicht funktionieren.

Jetzt, da REvil seinen Betrieb eingestellt habe, blieben dem Unternehmen nur noch wenige Möglichkeiten, das Problem zu lösen, so Hamilton weiter. „Sie bekamen ihren Entschlüsselungsschlüssel und als sie anfingen, ihn zu verwenden, stellten sie fest, dass er an einigen Stellen funktionierte und an anderen nicht. Diese Ransomware-Banden haben einen Kundensupport, aber der ist plötzlich verschwunden. Es gibt keine Hilfe mehr, und diese Leute sitzen einfach fest. Sie werden am Ende eine Menge Daten verlieren und viel Geld ausgeben, um ihr Netzwerk von Grund auf neu aufzubauen.“

Der Ransomware-Experte Alan Liska geht davon aus, dass weitere Unternehmen betroffen sind. „Meine Vermutung ist, dass REvil die Entschlüsselungsschlüssel schlecht verwaltet hat, so dass sie vielleicht nicht wissen, welchen Schlüssel sie an jedes einzelne Opfer herausgeben sollen. Möglicherweise haben sie die falschen Schlüssel an die wenigen 45.000-Dollar-Opfer verteilt, die bezahlt haben.“