REvil: La clé de déchiffrement universelle de Kaseya divulguée sur un forum de piratage

0

La clé de déchiffrement universelle de l’attaque de REvil contre les clients de Kaseya a été divulguée sur des forums de piratage, permettant aux chercheurs d’avoir un premier aperçu de la clé mystérieuse.

Le 2 juillet, le gang de ransomware REvil a lancé une attaque massive contre les fournisseurs de services gérés dans le monde entier en exploitant une vulnérabilité zero-day dans l’application de gestion à distance VSA de Kaseya.

Cette attaque a chiffré une soixantaine de fournisseurs de services gérés et environ 1 500 entreprises, ce qui en fait probablement la plus grande attaque de ransomware de l’histoire.

Après l’attaque, les pirates informatiques ont demandé une rançon de 70 millions de dollars pour recevoir un décrypteur universel qui pourrait être utilisé pour décrypter toutes les victimes de l’attaque de rançongiciel qui a ciblé Kaseya.

Cependant, le gang de ransomware REvil a mystérieusement disparu et, peu de temps après, les sites de paiement Tor et l’infrastructure du gang ont été fermés.

La disparition du gang a empêché les entreprises qui auraient peut-être eu besoin d’acheter un décrypteur de ne plus pouvoir le faire.

Le 22 juillet, Kaseya a obtenu une clé de déchiffrement universelle pour l’attaque de ransomware d’un mystérieux « tiers de confiance » et a commencé à la distribuer aux clients concernés.

Avant de partager le déchiffreur avec les clients, CNN a signalé que Kaseya leur avait demandé de signer un accord de non-divulgation, ce qui peut expliquer pourquoi la clé de décryptage ne s’était pas présentée jusqu’à présent.

La rumeur est que les services de renseignement russes ont reçu le déchiffreur du gang de ransomware et l’ont partagé avec les forces de l’ordre américaines en signe de bonne volonté.

Clé de déchiffrement divulguée sur un forum de piratage

Le chercheur en sécurité Pancak3 a déclaré que quelqu’un avait posté une capture d’écran de ce qu’il prétendait être un décrypteur universel de REvil sur un forum de piratage.

REvil
Message concernant le décrypteur Kaseya sur un forum de piratage

Ce message était lié à une capture d’écran sur GitHub qui montrait un déchiffreur REvil en cours d’exécution tout en affichant une clé ‘master_sk’ hachée en base64. Cette clé est « OgTD7co7NcYCoNj8NoYdPoR8nVFJBO5vs/kVkhelp2s= », comme indiqué ci-dessous.

kaseya
Capture d’écran du décrypteur présumé de Kaseya pour REvil

Lorsque les victimes du ransomware REvil paient une rançon, elles reçoivent soit un décrypteur qui fonctionne pour une seule extension de fichier crypté, soit un décrypteur universel qui fonctionne pour toutes les extensions de fichiers cryptées utilisées dans une campagne ou une attaque particulière.

La capture d’écran ci-dessus concerne un décrypteur universel REvil qui peut décrypter toutes les extensions associées à l’attaque.

Pour être clair, alors qu’on pensait à l’origine que la clé de déchiffrement dans cette capture d’écran pourrait être la clé « opérateur » principale pour toutes les campagnes REvil, il a été confirmé qu’il ne s’agissait que de la clé de déchiffrement universelle pour les victimes de l’attaque Kaseya.

Cela a également été confirmé par le CTO d’Emsisoft et l’expert en ransomware Fabian Wosar.

La société de sécurité Flashpoint a également confirmé qu’elle pouvait déchiffrer les fichiers chiffrés lors de l’attaque du ransomware Kaseya à l’aide de cette clé de déchiffrement.

Nous avons également essayé le décrypteur sur d’autres échantillons REvil que nous avons accumulés au cours des deux dernières années. Le décrypteur n’a pas fonctionné, indiquant qu’il ne s’agit pas de la clé de décryptage principale pour toutes les victimes de REvil.

On ne sait pas pourquoi le décrypteur de Kaseya a été publié sur un forum de piratage, ce qui est un endroit peu probable pour une victime de publier.

Cependant, de nombreuses sources du secteur du renseignement de cybersécurité pensaient que le poster était affiliée au gang du ransomware REvil plutôt qu’à une victime.

Quelles que soient les raisons de sa publication, pour ceux qui suivent l’attaque du ransomware Kaseya, il s’agit de notre premier accès à la clé de décryptage universelle que Kaseya a mystérieusement reçue.

Laisser un commentaire