Kaseya affirme avoir mis la main sur la clé de décryptage de Revil
La société américaine de logiciels Kaseya a accès à la clé de décryptage universelle du ransomware REvil qui avait ses clients fournisseurs de services gérés.
L’entreprise a annoncé son accès à l’outil de décryptage jeudi, une vingtaine de jours après l’attaque du ransomware, qui a eu lieu le 2 juillet.
L’attaque a touché 60 de ses clients directement et jusqu’à 1 500 de leurs clients en aval. Les caisses de la chaîne de supermarchés suédoise Coop ont été indisponibles pendant près d’une semaine en raison de l’attaque. Les caisses de l’entreprise ont été infectées dans tout le pays par une mise à jour logicielle corrompue du produit de Kaseya, VSA, qui est utilisé pour distribuer des mises à jour logicielles aux appareils embarqués et dans l’ensemble du parc informatique géré. Des écoles en Nouvelle-Zélande utilisant le logiciel Kaseya ont également été touchées.
Selon Kaseya, la société de sécurité néo-zélandaise Emsisoft a confirmé que l’outil de décryptage permet de déverrouiller les fichiers chiffrés par REvil.
“Nous pouvons confirmer que Kaseya a obtenu l’outil d’une tierce partie et que ses équipes aident activement les clients touchés par le ransomware à restaurer leurs environnements, sans qu’aucun rapport ne fasse état d’un quelconque problème lié au décrypteur “, a déclaré Kaseya dans un communiqué.
“Kaseya travaille avec Emsisoft pour soutenir nos efforts auprès des clients, et Emsisoft a confirmé que la clé est efficace pour débloquer les victimes.”
On ignore si Kaseya a payé la demande de rançon de 70 millions de dollars. Un porte-parole de Kaseya a déclaré au Guardian que la société avait obtenu la clé de décryptage auprès d’un “tiers de confiance”.
Alors que certains clients en aval de Kaseya ont remédié aux systèmes affectés, les points d’extrémité de certains clients sont restés hors ligne et pourraient restaurer les systèmes avec la clé de décryptage.
Un client anonyme la semaine dernière a affirmé avoir payé une rançon au groupe REvil mais n’a pas pu décrypter les fichiers chiffrés avec la clé de décryptage fournie. REvil vendait son ransomware comme un service à des groupes cybercriminels tiers.
Les sites Web du groupe REvil ont été fermés la semaine dernière après que le président américain Joe Biden a demandé au président russe Vladmir Poutine de prendre des mesures contre les cybercriminels basés en Russie qui ciblaient les entreprises américaines.
Joe Biden aurait dit à Poutine que les infrastructures critiques devraient être hors de périmètre en matière de cybercriminalité. Une autre attaque par ransomware du groupe DarkSide avait mis hors service le distributeur de carburant Colonial Pipeline sur la côte est des États-Unis au mois de mai.
Certains experts en sécurité pensent que l’attaque contre Colonial a propulsé la question des ransomwares au rang de discussion diplomatique et a incité REvil à suspendre ses activités.
Source : “ZDNet.com”
