L’un des virus ransomware les plus prolifiques peut désormais être déverrouillé facilement –
Kaseya, une société de logiciels de gestion informatique, affirme avoir obtenu la clé de déchiffrement universelle REvil par l’intermédiaire d’un « tiers de confiance ». Cela devrait aider Kaseya à récupérer les données d’une attaque de ransomware REvil du 4 juillet qui a touché plus de 1 500 entreprises.
REvil est l’un des nombreux groupes de ransomware opérant en Europe de l’Est. Il a mené une attaque de ransomware de chaîne d’approvisionnement contre Kaseya en exploitant une vulnérabilité dans le produit VSA de l’entreprise, une plate-forme que Kaseya utilise pour distribuer des logiciels à ses clients. Kaseya affirme qu’il était à quelques jours de corriger cette vulnérabilité lorsque le piratage s’est produit.
En fin de compte, le ransomware de REvil a affecté 60 des clients de Kaseya et plus de 1 500 réseaux en aval. Le groupe de ransomware a demandé 70 millions de dollars en échange d’un outil de décryptage universel, bien que jusqu’à présent, Kaseya ait évité un tel accord.
Alors, comment Kaseya a-t-elle obtenu la clé de déchiffrement universelle REvil ? Il est possible, bien qu’improbable, que la société informatique ait versé plus de 70 millions de dollars au groupe REvil. Une explication plus plausible est que REvil ou un tiers, peut-être la Maison Blanche ou le Kremlin, a remis la clé à Kaseya gratuitement.
Bien sûr, ce n’est que spéculation. Mais plusieurs des sites Web sombres de REvil ont disparu la semaine dernière à la suite d’un appel téléphonique entre le président Biden et Vladimir Poutine. Lors d’une conférence de presse le vendredi 9 juillet, le président a affirmé qu’il « avait très clairement [Putin] que les États-Unis attendent, lorsqu’une opération de ransomware vient de leur sol même si ce n’est pas, pas, parrainé par l’État, que nous attendons d’eux qu’ils agissent.
Le président a également confirmé qu’il y aurait des conséquences pour de futures attaques et que les États-Unis sont justifiés de cibler les serveurs qui hébergent des opérations de ransomware.
Indépendamment de la façon dont Kaseya a mis la main sur le décrypteur REvil, la société de logiciels peut désormais déverrouiller les données que les entreprises ont perdues lors de l’attaque de ransomware du 4 juillet (et d’autres attaques REvil). Espérons que cette percée réduira le nombre d’attaques de ransomware qui se produisent à l’avenir.
Source : The Guardian via ZDNet