Het Amerikaanse softwarebedrijf Kaseya beschikt over een universele sleutel waarmee de systemen hersteld kunnen worden van de zeker 1.500 bedrijven wereldwijd die begin juli slachtoffer werden van een aanval met gijzelsoftware. Dat heeft Kaseya zelf op zijn website bekendgemaakt. Het bedrijf zegt niet hoe het aan die sleutel is gekomen, maar wel dat dat via een ‘vertrouwde derde partij’ is gebeurd. Kaseya gaat zijn klanten nu helpen hun bestanden te herstellen.

De hackers kregen begin juli toegang tot de systemen van hun slachtoffers door in te breken in de tool VSA van het bedrijf Kaseya, die door IT-dienstverleners wordt gebruikt om de systemen van hun klanten, veelal bedrijven in het midden- en kleinbedrijf, op afstand te beheren. Via een update van VSA werd de gijzelsoftware bij de getroffen bedrijven geïnstalleerd. Onder de slachtoffers was de Zweedse supermarktketen Coop, die gedwongen was honderden vestigingen tijdelijk te sluiten.

De zogenoemde ‘ransomware’ versleutelt de bestanden die het op besmette systemen aantreft. Na betaling van losgeld – doorgaans in cryptomunten zoals bitcoin – krijgen slachtoffers een tool waarmee de versleuteling kan worden teruggedraaid. Vaak worden de bestanden bovendien gestolen, zodat de hackers ook kunnen dreigen met publicatie van gevoelige informatie als slachtoffers weigeren te betalen. Of dat in dit geval ook is gebeurd, is onduidelijk.

De aanval werd opgeëist door de Russische cyberbende REvil. Die vroeg aanvankelijk 50.000 dollar losgeld van individuele bedrijven, of 5 miljoen van grotere slachtoffers. Maar korte tijd later bood REvil op zijn blog op het ‘dark web’ – een gedeelte van internet dat normaal gesproken onzichtbaar blijft – een universele sleutel aan voor 70 miljoen dollar.

Cyberbende REvil verslikt zich in te grote prooi

Spanningen met de VS

De recente golf aan dit soort cyberaanvallen is een voorname bron van spanningen tussen Rusland en de VS, die de autoriteiten in Moskou ervan betichten de ransomwarebendes bewust ongemoeid te laten. De Amerikaanse president Biden dreigde zijn Russische ambtgenoot Poetin met ‘optreden’ als Rusland niet zelf zou ingrijpen.

Anderhalve week geleden verdwenen de websites van REvil ineens spoorloos van het dark web. Of dat het gevolg was van Russisch of Amerikaans ingrijpen of dat de hackers zelf de stekker uit hun activiteiten hebben getrokken, is onduidelijk, maar de plotselinge verdwijning, zonder achterlating van ontsleutelsoftware, was een tegenslag voor bedrijven die nog met de gevolgen van de aanval kampten. Of de plotselinge beschikbaarheid van zo’n sleutel met de verdwijning van REvil verband houdt, is evenmin duidelijk.