Kaseya obtient un décrypteur universel pour les victimes du ransomware REvil

0

Kaseya a reçu un décrypteur universel qui permet aux victimes de l’attaque du ransomware REvil du 2 juillet de récupérer leurs fichiers gratuitement.

Le 2 juillet, l’opération de ransomware REvil a lancé une attaque massive en exploitant une vulnérabilité zero-day dans l’application de gestion à distance Kaseya VSA pour chiffrer une soixantaine de fournisseurs de services gérés et environ 1 500 entreprises.

Après l’attaque, les pirates informatiques ont demandé 70 millions de dollars pour un décrypteur universel, 5 millions de dollars pour les MSP et 40 000 $ pour chaque extension chiffrée sur le réseau d’une victime.

Kaseya REvil
Revil demande une rançon de 70 millions de dollars

Peu de temps après, le gang de ransomware REvil a mystérieusement disparu et les pirates informatiques ont fermé leurs sites de paiement et leur infrastructure.

Alors que la plupart des victimes ne payaient pas, la disparition du gang a empêché les entreprises qui auraient pu avoir besoin d’acheter un décrypteur de pouvoir le faire.

La semaine dernière, Kaseya a déclaré avoir reçu un décrypteur universel pour l’attaque de ransomware d’un « parti tiers de confiance » et le distribue maintenant aux clients concernés.

« Nous pouvons confirmer que nous avons obtenu un décrypteur auprès d’un parti tiers de confiance, mais nous ne pouvons pas en dire plus sur la source », a déclaré Dana Liedholm, vice-présidente du marketing d’entreprise de Kaseya.

« Nous avons fait valider l’outil par un tiers supplémentaire et avons commencé à le distribuer à nos clients concernés. »

Bien que Kaseya n’ait pas partagé d’informations sur la source de la clé, ils ont confirmé qu’il s’agissait de la clé de déchiffrement universelle pour l’ensemble de l’attaque, permettant à tous les MSP et à leurs clients de déchiffrer les fichiers gratuitement.

Nous ne savons pas si Kaseya a payé une rançon pour recevoir un décrypteur.

Le directeur technique d’Emsisoft, Fabian Wosar, a déclaré qu’ils étaient le tiers qui avait validé la clé et qu’ils continueraient à aider Kaseya dans ses efforts de récupération.

« Nous travaillons avec Kaseya pour soutenir leurs efforts auprès de leurs clients. Nous avons confirmé que la clé est efficace pour déverrouiller les victimes et continuerons à fournir une assistance à Kaseya et à ses clients », a déclaré Wosar.

On ne sait pas ce qui a provoqué la fermeture et la clandestinité de l’opération de ransomware REvil, et plusieurs organismes internationaux chargés de l’application des lois ont déclaré qu’ils n’étaient pas impliqués dans leur disparition.

Après l’attaque contre JBS et Kaseya, la Maison Blanche a fait pression sur le gouvernement russe pour qu’il fasse quelque chose contre les gangs de ransomware qui opéreraient en Russie.

On pense que le gouvernement russe a demandé au gang du ransomware REvil de mettre la clé sous la porte et de disparaître pour montrer qu’il travaillait avec les États-Unis.

Comme le décrypteur a été obtenu après la disparition du gang REvil, il est possible que la Russie l’ait reçu directement du gang du ransomware et l’ait partagé avec les forces de l’ordre américaines en signe de bonne volonté.

« Le Département de la Justice et le FBI ont une enquête criminelle en cours sur l’entreprise criminelle derrière la variante du ransomware REvil/Sodinokibi et les acteurs responsables de l’attaque du ransomware Kaseya en particulier », a déclaré le FBI.

La disparition de REvil n’est probablement pas la fin des activités en ligne du gang. Dans le passé, l’opération de ransomware GandCrab a été fermée et rebaptisée REvil, et il est prévu que REvil refasse surface en tant que nouvelle opération de ransomware.

Laisser un commentaire