Kaseya obtient un décrypteur maître pour aider les clients qui souffrent encore de l’attaque REvil


Gros plan sur une clé de porte blindée.

Kaseya, le vendeur de logiciels de gestion à distance au centre d’une opération de ransomware qui a touché jusqu’à 1 500 réseaux en aval, a déclaré avoir obtenu un décrypteur qui devrait restaurer avec succès les données cryptées lors de l’attaque du week-end du 4 juillet.

Les filiales de REvil, l’un des groupes de rançongiciels les plus acharnés d’Internet, ont exploité une vulnérabilité critique du jour zéro dans le produit de gestion à distance VSA de Kaseya, basé à Miami, en Floride. La vulnérabilité, que Kaseya était à quelques jours de la correction, a permis aux opérateurs de ransomware de compromettre les réseaux d’environ 60 clients. De là, les extorqueurs infecté jusqu’à 1 500 réseaux qui s’appuyait sur les 60 clients pour les services.

Enfin, un décrypteur universel

“Nous avons obtenu le décrypteur hier d’un tiers de confiance et l’avons utilisé avec succès sur les clients concernés”, a écrit jeudi matin Dana Liedholm, vice-présidente principale du marketing d’entreprise. «Nous fournissons un support technique pour utiliser le décrypteur. Nous avons une équipe qui contacte nos clients, et je n’ai pas plus de détails pour le moment.

Dans un message privé, l’analyste des menaces Brett Callow de la société de sécurité Emsisoft a déclaré : « Nous travaillons avec Kaseya pour soutenir leurs efforts d’engagement client. Nous avons confirmé que la clé est efficace pour déverrouiller les victimes et continuerons à fournir une assistance à Kaseya et à ses clients. »

REvil avait demandé jusqu’à 70 millions de dollars pour un décrypteur universel qui restaurerait les données de toutes les organisations compromises dans l’attaque de masse. Liedholm a refusé de dire si Kaseya a payé une somme en échange de l’outil de décryptage. Kaseya a depuis corrigé le zero-day utilisé dans l’attaque.

Pour le moment, on ne sait pas publiquement si Kaseya a payé la rançon ou l’a reçue gratuitement de REvil, d’un organisme d’application de la loi ou d’une société de sécurité privée.

Dans les jours qui ont suivi l’attaque, le site de REvil sur le dark web, ainsi que d’autres infrastructures que le groupe utilise pour fournir une assistance technique et traiter les paiements, se sont soudainement déconnectés. La sortie inexpliquée a laissé les victimes et les chercheurs inquiets que les données restent verrouillées pour toujours, car les seules personnes capables de les déchiffrer avaient disparu.

D’où vient-il?

REvil est l’un des nombreux groupes de rançongiciels censés opérer depuis la Russie ou un autre pays d’Europe de l’Est qui faisait autrefois partie de l’Union soviétique. La disparition du groupe est survenue quelques jours après que le président Joe Biden a averti son homologue russe Vladimir Poutine que si la Russie ne freinait pas ces groupes de ransomware, les États-Unis pourraient prendre des mesures unilatérales contre eux.

Les observateurs ont spéculé depuis lors que soit Poutine a fait pression sur le groupe pour qu’il se taise, soit le groupe, secoué par toute l’attention qu’il a reçue de l’attaque, a décidé de le faire seul.

Certaines des entreprises victimes de l’attaque incluent la chaîne d’épicerie suédoise COOPÉRATIVE, Virginie Tech, deux villes du Maryland, les écoles néo-zélandaises et l’entreprise textile internationale Miroglio Group.

REvil est également à l’origine d’un attaque paralysante contre JBS, le plus grand producteur mondial de viande. La brèche a amené JBS à fermer temporairement certaines usines.



Source link