与受 Kaseya 勒索软件攻击影响的公司合作的专家表示，Kaseya 要求公司在提供解密器访问权限之前签署保密协议

华盛顿（美国有线电视新闻网）周四，软件公司 Kaseya 宣布，它可以帮助解锁在本月初遭受毁灭性勒索软件攻击后仍无法访问的任何客户系统，该攻击在全球范围内摧毁了多达 1,500 家企业。但对许多受害者来说，这太少了，太晚了。该公司表示，Kaseya 已经获得了一个解密密钥，可以释放任何仍被犯罪团伙 REvil 生产的恶意软件锁定的文件，该团伙据信在东欧或俄罗斯开展业务。对于攻击发生三周后系统仍处于离线状态的组织而言，新发现的解密工具提供了希望的迹象，尤其是在 REvil 神秘地从互联网上消失并导致许多组织无法联系该组织之后。但是对于许多在没有 Kaseya 帮助的情况下已经恢复的其他人来说，无论是几周前支付勒索软件团伙的费用，还是通过从备份中煞费苦心地恢复，该公告都没有帮助——并为 Kaseya 开启了审查的新篇章，因为它拒绝回答问题关于它如何获得密钥以及它是否支付了 7000 万美元的赎金要求或其他金额。 “这在三周前真的很好；我们现在已经投入了超过 2,000 个小时的恢复时间，”IT 提供商 Just Tech 的首席执行官 Joshua Justice 说，他在两周的大部分时间里夜以继日地工作100 多个客户的系统从 Just Tech 维护的备份中重新运行。 “当然，我们的客户不能指望我们坐在那里。” Justice 证实 Kaseya 广泛使用的工具对他有用。 Kaseya 发言人 Dana Liedholm 在周五的一份声明中告诉美国有线电视新闻网，从获得该工具到宣布其存在“不到 24 小时”，并且它正在向作为其客户的技术支持公司提供解密密钥。反过来，将使用该工具解锁受黑客攻击影响的无数餐馆、会计办公室和牙科诊所的计算机。据与受影响公司合作的几位网络安全专家称，为了访问该工具，Kaseya 要求企业签署保密协议。虽然此类协议在业内并不少见，但它们可能会使人们更难以理解事件发生后的情况。 Kaseya 拒绝对保密协议发表评论。

网络安全公司 Huntress Labs 的销售副总裁 Andrew Kaiser 表示，一些受到 REvil 恶意软件攻击的企业对 Kaseya 在最初攻击几周后推出该工具感到沮丧，该公司与三家受黑客攻击影响的技术支持公司合作。 “我昨天和一家服务提供商谈过，”凯撒告诉 CNN，“他说，‘嘿听着，我们是一家 10 到 20 人的公司。我们已经在整个业务中花费了 2,500 多个工时来恢复“如果我们在一周或 10 天前就知道有可能获得这个解密器，我们就会做出截然不同的决定。现在，我们只有 10 或 20 个系统可以从中受益。” Kaiser 说，大多数处于相同地位的公司选择承担恢复成本，而不是将其转嫁给客户，这意味着他们在危机中进行自我恢复可能是浪费了劳动力、时间和金钱。尽管一些公司自己成功地从攻击中恢复过来，但许多其他公司已经挣扎了数周但无济于事。当 REvil 的网站消失时，问题变得更加复杂，无法联系该组织以支付赎金或寻求技术帮助。该组织的不明原因失踪引发了广泛猜测，即美国或俄罗斯政府可能卷入其中，尽管这两个国家都没有声称功劳。美国官员拒绝置评，克里姆林宫发言人否认了解此事。网络安全公司 GroupSense 一直在与两个组织合作，一所中小型私立学校和一家律师事务所，当他们无法再与 REvil 沟通时，他们就束手无策了。 “当他们下线时，我们正在与 REvil 进行积极谈判，”GroupSense 的情报总监布莱斯·韦伯斯特-雅各布森本周早些时候告诉 CNN。 “立即，我们从与我们一起工作的受害者那里得到的是，'等等，等等，你说这些人离线是什么意思？这对我们意味着什么？'”其他受害者已经向 REvil 支付了赎金。受害者聘请的网络安全公司Critical Insight表示，一个这样的组织一直在努力操作从该组织获得的密钥。但根据Critical Insights的联合创始人迈克汉密尔顿的说法，随着REvil的突然失踪，受害者被困。受害者不愿透露姓名，也没有可靠的备份，害怕不得不回到客户那里，要求提供完成项目所需的所有数据的新副本。

Kaseya 本周的宣布可能意味着最终恢复这些受害者的数据。但这并没有改变他们必须花费的资源，以及他们必须做出的令人痛心的决定，从攻击发生到 Kaseya 宣布受害者不知道有可能使用解密器的时间很长。 . “额外的三、四、五天可能是企业继续运营和他们说'我们无法前进'之间的区别，”凯撒说。知情人士说，这种难题已成为拜登政府考虑的因素，因为执法和情报官员已经探索将勒索软件组织下线。特别是国家安全委员会一直在研究如何避免间接伤害受害者，如果犯罪集团被取缔或消失，他们可能无法取回他们的数据。政府越来越多地采取行动破坏勒索软件网络，跟踪赎金支付并建立一个打击网络犯罪的国际联盟。但官员们坚决拒绝透露美国政府是否在 REvil 的失踪中发挥了作用。该组织还被指控最近对肉类供应商 JBS Foods 进行勒索软件攻击，在一位高级政府官员发誓美国当局将“在未来几天和几周内”对勒索软件组织采取行动后不久，该组织就下线了。 NSC 发言人告诉 CNN，基本的网络安全卫生是公司为自己接种勒索软件的最佳方式。发言人说，但对于受害者，政府正在考虑其制定的勒索软件策略可能会如何影响他们。 Kaiser 说，随着越来越多的组织接受 Kaseya 提供的解密器，可能会有更多人了解该公司是如何使用该工具的。在此之前，网络安全专家一直在猜测可能发生了什么。多位专家一致认为，这些理论主要分为几个主要类别。

GuidePoint Security 的首席威胁情报分析师 Drew Schmitt 表示，从技术上讲，Kaseya 或其合作伙伴之一设法从勒索软件中对该工具进行了逆向工程，这在技术上是可能的，但不太可能。他补充说，像 REvil 这样的组织往往不会在他们的代码中留下可以被利用的漏洞。他说，一个更合理的理论是 Kaseya 得到了执法官员的帮助。几位网络安全专家表示，如果 REvil 的失踪实际上是政府主导行动的结果，当局可能已经没收了一个可以用来帮助 Kaseya 的解密器。 Huntress Labs 首席执行官凯尔·汉斯洛文 (Kyle Hanslovan) 表示，REvil 本身也有可能自愿或在美国或俄罗斯当局的压力下交出了解密器。但最可能的情况也是最简单的情况，施密特说：Kaseya 或代表其行事的人支付了赎金。这引发了 Kaseya 尚未回答的进一步问题：该公司是否支付了赎金？如果有，什么时候？如果公司在消失后与REvil进行沟通，它是如何沟通的？施密特说：“有很多可能发生的情况，但我们没有太多的信息可以说，”他补充说，关于卡塞亚对袭击的反应的信息“可以作为一个案例研究未来的情况向前发展。”