Martijn Kregting - 23 september 2021

FBI hield bestaan decryptiesleutel voor Kaseya drie weken geheim

FBI hield bestaan decryptiesleutel voor Kaseya drie weken geheim image

De FBI heeft bijna drie weken lang een decryptiesleutel geheim gehouden waarmee bedrijven gegijzelde computersystemen hadden kunnen ontsleutelen na de grootschalige ransomwareaanval op Kaseya. Dat schrijft The Washington Post.

Kaseya, een maker van beheersoftware die begin juli slachtoffer werd van een stevige REvil ransomware-aanval, stelde in de vierde week van juli dat het een universele sleutel had die het ging delen met zijn klanten. De cyberaanval die begin juli via de software van Kaseya VSA werd verspreid, trof meer dan duizend bedrijven wereldwijd.

De hackers kwamen binnen via een zwakke plek in de software en konden zo systemen van ruim duizend bedrijven gijzelen. De hackers eisten 70 miljoen dollar voor het vrijgeven van een sleutel waarmee getroffen partijen weer bij hun bestanden kunnen. In Zweden moesten onder meer 800 Coop-supermarkten sluiten omdat kassasystemen door de hack niet meer werkten.

Sleutel na drie weken gedeeld

De sleutel zou begin juli al verkregen zijn door de FBI, maar werd pas drie weken later gedeeld met andere partijen. Dat bevestigde FBI-directeur Christopher Wray dinsdag. De sleutel werd verkregen via toegang tot de servers van de in Rusland gevestigde criminele bende achter de aanval. Onmiddellijk delen had de slachtoffers, inclusief scholen en ziekenhuizen, geholpen om miljoenen dollars aan herstelkosten te voorkomen.

Maar de FBI hield de sleutel vast, met instemming van andere instanties. Deels omdat het van plan was een operatie uit te voeren om de REvil-hackers aan te pakken en de dienst hen niet wilde tippen. Ook bleek uit een beoordeling van de regering dat de schade niet zo ernstig was als aanvankelijk werd gevreesd. Het geplande onderuit halen van de hackersgroep heeft uiteindelijk nooit plaatsgevonden omdat medio juli het platform van REvil offline ging - zonder tussenkomst van de Amerikaanse overheid - en de hackers verdwenen voordat de FBI de kans had om zijn plan uit te voeren.

De FBI deelde uiteindelijk de sleutel met Kaseya op 21 juli – 19 dagen na de aanval. Kaseya vroeg meteen het in Nieuw-Zeeland gevestigde beveiligingsbedrijf Emsisoft om een nieuwe decoderingstool te maken, die Kaseya de volgende dag uitbracht.

REvil weer actief

Nadat de uit Rusland afkomstige hackgroep van het internet verdween, verscheen REvil begin deze maand ineens weer op het internet. Inmiddels zou de groep alweer verschillende nieuwe hackaanvallen hebben uitgevoerd.

Sophos 14/11/2024 t/m 28/11/2024 BN + BW Lenovo Channel Campagne vierkant
Axians 12/11/2024 t/m 26/11/2024 BN + BW

Wil jij dagelijkse updates?

Schrijf je dan in voor onze nieuwsbrief!