Kaseya , une société de logiciels de gestion informatique, affirme avoir obtenu la clé de déchiffrement universelle REvil par l'intermédiaire d'un “tiers de confiance.” Cela devrait aider Kaseya à récupérer les données d'une attaque de ransomware REvil du 4 juillet qui a touché plus de 1 500 entreprises.
REvil est l'un des nombreux groupes de ransomware opérant en Europe de l'Est. Il a mené une attaque de ransomware sur la chaîne d'approvisionnement contre Kaseya en exploitant une vulnérabilité dans le produit VSA de l'entreprise, une plate-forme que Kaseya utilise pour distribuer des logiciels à ses clients. Kaseya affirme qu'il était à quelques jours de corriger cette vulnérabilité lorsque le piratage s'est produit.
En fin de compte, le ransomware de REvil a affecté 60 des clients de Kaseya et plus de 1 500 réseaux en aval. Le groupe de ransomware a demandé 70 millions de dollars en échange d'un outil de décryptage universel, bien que jusqu'à présent, Kaseya ait évité un tel accord.
Alors, comment Kaseya a-t-elle obtenu la clé de déchiffrement universelle REvil ? Il est possible, bien que peu probable, que la société informatique ait versé plus de 70 millions de dollars au groupe REvil. Une explication plus plausible est que REvil ou un tiers, peut-être la Maison Blanche ou le Kremlin, a remis la clé à Kaseya gratuitement.
Bien sûr, ce ne sont que des spéculations. Mais plusieurs des sites Web sombres de REvil ont disparu la semaine dernière à la suite d'un appel téléphonique entre le président Biden et Vladimir Poutine. Lors d'une conférence de presse le vendredi 9 juillet, le président a affirmé qu'il avait dit très clairement à [Poutine] que les États-Unis s'attendaient à ce qu'une opération de ransomware vienne de leur sol même si ce n'est pas le cas. , pas, parrainé par l'État, que nous attendons d'eux qu'ils agissent.”
Le président a également confirmé qu'il y aurait des conséquences pour de futures attaques, et que les États-Unis sont justifiés de cibler les serveurs qui hébergent opérations de ransomware.
Quelle que soit la manière dont Kaseya a mis la main sur le décrypteur REvil, la société de logiciels peut désormais déverrouiller les données que les entreprises ont perdues lors de l'attaque de ransomware du 4 juillet (et d'autres attaques REvil). Espérons que cette percée réduira le nombre d'attaques de ransomware qui se produisent à l'avenir.
Source : The Guardian via ZDNet