Les victimes de REvil refusent de payer après l’attaque de ransomware de Kaseya

0

L’attaque du gang de ransomware REvil contre les MSP et leurs clients aurait dû être couronnée de succès, mais des changements dans leurs tactiques et procédures typiques ont conduit à peu de paiements de rançon.

Lorsque des gangs de rançongiciels mènent une attaque, ils s’introduisent généralement dans un réseau et prennent du temps à voler des données et à supprimer des sauvegardes avant de finalement chiffrer les appareils de la victime.

Lorsqu’une victime reçoit une preuve de vol de données, que les sauvegardes sont supprimées et que ses appareils sont cryptés, cela les incite beaucoup plus à payer la rançon pour restaurer leurs données et empêcher la fuite de données.

Cependant, la filiale de REvil responsable de cette attaque a choisi de renoncer aux tactiques et procédures standard. Au lieu de cela, ils ont utilisé une vulnérabilité zero-day dans les serveurs VSA de Kaseya sur site pour effectuer une attaque massive et généralisée sans réellement accéder au réseau de la victime.

Cette tactique a conduit à l’attaque de ransomware la plus importante de l’histoire, avec environ 1 500 entreprises individuelles chiffrées en une seule attaque.

Pourtant, alors que deux entreprises ont payé une rançon pour recevoir un décrypteur, dans l’ensemble, cette attaque n’est probablement pas aussi réussie que le gang REvil l’aurait prévu.

La raison en est simplement que les sauvegardes n’ont pas été supprimées et que les données n’ont pas été volées, offrant ainsi au gang de ransomware peu d’influence sur les victimes.

Revil Kaseya
Une victime a payé une rançon de 220 000 $ dans l’attaque de Kaseya

Des chercheurs en cybersécurité familiers avec les attaques et les MSP ciblés ont déclaré que les victimes avaient de la chance d’avoir été attaquées de cette manière, car les pirates informatiques n’avaient pas un accès régulier et sans entrave aux réseaux et ont été contraints d’utiliser des méthodes automatisées de suppression des sauvegardes.

Par exemple, le directeur technique d’Emsisoft, Fabian Wosar, a extrait la configuration d’un échantillon de ransomware REvil utilisé dans l’attaque, et cela montre que l’affilié de REvil a fait une tentative rudimentaire de suppression de fichiers dans des dossiers contenant la chaîne de caractères « backup ».

wipe config
Extrait de la configuration du ransomware REvil

Cependant, cette méthode ne semble pas avoir réussi en tant que MSP(Managed Services Provider) et plusieurs victimes chiffrées lors de l’attaque ont déclaré qu’aucune de leurs sauvegardes n’avait été affectée et qu’elles ont choisi de restaurer plutôt que de payer une rançon.

Bill Siegel, PDG de la société de négociation de ransomware Coveware, a déclaré qu’il s’agissait d’une décision similaire pour de nombreuses autres victimes de l’attaque, car aucun de leurs clients n’a dû payer de rançon.

« Dans l’attaque ciblant Kaseya, ils ont choisi d’essayer d’avoir un impact sur CHAQUE client Kaseya en ciblant le logiciel par rapport à l’entrée directe sur le réseau d’un MSP. En optant pour un impact aussi large, ils semblent avoir sacrifié l’étape de cryptage/effacement des sauvegardes au niveau du niveau de contrôle du MSP», a déclaré Siegel.

« Cela peut s’avérer un peu salvateur, même pour les MSP qui avaient des sauvegardes mal segmentées pour leurs clients. »

« Bien qu’il soit certainement impressionnant que Sodin ait réussi cet exploit, nous n’avons pas vu le niveau de perturbation qui suit généralement une attaque de MSP où les sauvegardes sont intentionnellement effacées ou cryptées, et il n’y a pas d’autre moyen de récupérer des données sans payer une rançon. »

« La perturbation est toujours grave, mais les données chiffrées irrécupérables à partir des sauvegardes peuvent finir par être minimes. Cela se traduira par un besoin minimal de payer des rançons. »

« Les MSP touchés vont être étirés pendant un certain temps alors qu’ils restaurent leurs clients, mais jusqu’à présent, aucun des clients que nous avons observés n’a eu besoin de payer une rançon. Je suis sûr qu’il y a des victimes qui devront le faire, mais cela aurait pu être bien pire. »

Les victimes qui paient finalement une rançon ne le feront probablement que parce qu’elles avaient de mauvaises sauvegardes à partir desquelles restaurer.

Nous avons rarement l’occasion d’écrire une histoire positive sur les ransomwares, et bien que de nombreuses entreprises aient connu une semaine stressante et perturbatrice, il semble que la majorité des victimes devraient pouvoir reprendre leurs activités assez rapidement.

Si cet article vous a plu, n’oubliez pas de jeter un œil à nos bons plans.

Laisser un commentaire