Et nyt dekrypteringsværktøj gør at ofrene, hvis systemer har været låst, snart kan trække vejret.
FOR tre uger siden angreb ransomware omkring 1.500 virksomheder, herunder Coop i Sverige og en række andre virksomheder både i Danmark såvel som øvrige del af verdenen og sidste uge forsvandt den berygtede gruppe bag hack fra internettet og efterlod ofrene med ingen mulighed for at betale og frigøre deres data. Situationen nu tæt på endelig at blive løst takket være et nyt dekrypteringsværktøj.
Hacket skete i første omgang mod et IT-firma, Kaseya den 2 juli og satte nærmest en epidemi i gang. Kaseya leverer it-administrationssoftware, der er populær blandt tjenesteudbydere, såkaldte MSP’er, som er virksomheder, der tilbyder it-infrastruktur til virksomheder, der helst ikke selv vil håndtere det. Ved at udnytte en fejl i MSP-fokuseret software kaldet Virtual System Administrator, var ransomwaregruppen REvil i stand til at inficere ofrenes systemer.
I de mellemliggende uger har ofrene haft to valg. Enten at betale løsesummen for at gendanne deres systemer eller genopbygge det, der gik tabt gennem sikkerhedskopier. For mange virksomheder satte REvil løsesummen på omkring $ 45.000. Da gruppen forsvandt, tog den betalingsportalen med sig og ofrene blev efterladt ude af stand til at betale, selv om de eventuelt gerne ville.
Muligheden for at frigøre alle enheder, der er krypterede, er unægtelig gode nyheder, men en antallet af ofre tilbage, der har brug for hjælpen på nuværende tidspunkt kan være en relativt lille luns af den oprindelige skare. Formentligt har enhver virksomhed, der kunne rekonstruere deres data gennem sikkerhedskopier gennem betaling af løsesum eller på anden måde, sandsynligvis har gjort det nu. Omvendt er de tilfælde, hvor det sandsynligvis vil hjælpe mest, være virksomheder, hvor unikke data på et krypteret system simpelthen ikke kan rekonstrueres på nogen måde.
Mange af REvil ofrene var små og mellemstore virksomheder; Som MSP-kunder er de helt sikkert de typer, der foretrækker at outsource deres it-behov – hvilket igen betyder, at de kan være mindre tilbøjelige til at have pålidelige sikkerhedskopier, der er let tilgængelige.
Uagtet ovenstående kan dagens nyheder indvarsle afslutningen på en uge med lange prøvelser, men det letter dog ikke fortsatte bekymringer om ransomware-trusler og hvad Kaseya-kampagnen repræsenterede. Grupper som Darkside og REvil er blevet opmuntret i de seneste måneder i både bredden og dybden af deres angreb.
Ligesom REvil forsvandt Darkside i lyset af det stigende juridiske og politiske pres. Men de ansvarlige for disse angreb er ikke blevet identificeret, tiltalt endsige anholdt. De fleste i branchen er stort set enige om, at det kun er et spørgsmål om tid, før gruppen genopstår sandsynligvis under et andet navn, men med samme taktik.