Kaseya obtient un décrypteur universel de ransomware
3 min read
Kaseya, le fournisseur de services informatiques qui a fait l’objet de une attaque de ransomware REvil/Sodinokibi orchestrée par une série de vulnérabilités dans son produit VSA plus tôt en juillet 2021, affirme avoir réussi à obtenir une clé de décryptage universelle pour permettre aux clients rançonnés de déverrouiller leurs fichiers gratuitement.
L’entreprise a pris possession de l’outil de décryptage le 21 juillet et contacte actuellement des clients dont les systèmes ont été verrouillés par le syndicat REvil afin d’y remédier.
“Nous pouvons confirmer que Kaseya a obtenu l’outil d’un tiers et que des équipes aident activement les clients affectés par le ransomware à restaurer leurs environnements, sans aucun rapport de problème ou de problème associé au décrypteur”, a déclaré Kaseya dans un communiqué.
« Kaseya travaille avec Emsisoft pour soutenir nos efforts d’engagement client, et Emsisoft a confirmé que la clé est efficace pour débloquer les victimes.
L’attaque initiale, qui a eu lieu le vendredi 2 juillet, juste avant le week-end férié du Jour de l’Indépendance aux États-Unis, a vu environ 60 fournisseurs de services gérés (MSP) utiliser le chiffrement VSA, avec des impacts importants sur des milliers de clients en aval, dont beaucoup de petites entreprises.
Le syndicat du ransomware REvil à l’origine de l’attaque avait demandé un total de 70 millions de dollars pour fournir un décrypteur universel, mais un peu plus d’une semaine plus tard, une partie importante de l’infrastructure du groupe a été mise hors ligne pour des raisons qui n’ont toujours pas été établis.
Ceci, ajouté à l’insistance du PDG de Kaseya, Fred Voccola, sur le fait que l’entreprise ne négocierait en aucun cas avec ses agresseurs, et l’utilisation du terme « tiers de confiance » semblerait, au moment de la rédaction, suggérer que Kaseya n’a pas payé une rançon.
Titre sœur de Computer Weekly SearchSecurity a demandé à Kaseya si la réception de la clé était liée ou non à un paiement de rançon effectué soit par l’entreprise elle-même, soit par un tiers, mais Kaseya a refusé de fournir plus de détails.
Cela a conduit à la spéculation dans la communauté de la sécurité que la clé a été remise par un affilié de REvil mécontent, que le gang a été contraint par le gouvernement russe de remettre la clé aux forces de l’ordre, ou qu’il a fait l’objet d’un as- action non divulguée des autorités américaines.
d’Eset Jake Moore a déclaré qu’il était en effet probable que l’un de ces scénarios soit le plus probable. “Les outils de décryptage signifient soit que l’entreprise a payé la rançon, soit que les gouvernements se sont impliqués dans la découverte”, a-t-il déclaré. « Il est généralement très rare de trouver un outil pour résoudre les problèmes de manière aussi simple, mais cela peut être le seul espoir pour les organisations concernées.
“Avec 19 jours depuis l’attaque, les entreprises concernées ont peut-être esquivé une énorme balle avec ce décrypteur et le sentiment écoeurant de l’attaque peut maintenant renforcer leur sécurité future.”
