Kaseya obtient un décodeur principal pour aider les clients toujours attaqués par REvil

05:44 23/07/2021

Gros plan sur la clé de la porte blindée.

Kaseya – le vendeur de logiciels de gestion à distance au cœur d’une opération de ransomware qui a touché jusqu’à 1 500 réseaux en aval – a déclaré avoir obtenu un décrypteur capable de récupérer avec succès les données cryptées lors du week-end d’attaque du 4 juillet.

Les filiales de REvil, l’un des groupes de rançongiciels les plus redoutables sur Internet, ont exploité une vulnérabilité critique du jour zéro dans le produit de gestion à distance VSA de Kaseya, basé à Miami, en Floride. La vulnérabilité – dont Kaseya est à quelques jours d’être corrigée – a permis aux opérateurs de ransomware de compromettre les réseaux d’environ 60 clients. À partir de là, les maîtres chanteurs ont infecté jusqu’à 1 500 réseaux basés sur 60 clients pour utiliser le service.

Enfin un décodeur universel

“Nous avons reçu le décrypteur hier d’un tiers de confiance et l’avons utilisé avec succès sur les clients concernés”, a déclaré Dana Liedholm, vice-président senior du marketing de l’entreprise, dans un e-mail jeudi matin. « Nous fournissons un support technique pour l’utilisation du décodeur. Nous avons une équipe de contact client et je n’ai pas plus de détails pour le moment.

Dans un message séparé, l’analyste des menaces Brett Callow de la société de sécurité Emsisoft a déclaré : « Nous travaillons avec Kaseya pour soutenir leurs efforts d’engagement client. Nous avons confirmé que la clé est efficace pour déverrouiller les victimes et continuerons à soutenir Kaseya et ses clients. “

REvil a demandé jusqu’à 70 millions de dollars pour un décrypteur à usage général capable de récupérer les données de toutes les organisations compromises dans l’attaque de masse. Liedholm a refusé de dire si Kaseya avait payé de l’argent en échange de l’outil de décryptage. Kaseya a depuis corrigé le zero-day utilisé dans l’attaque.

Actuellement, il n’a pas été rendu public si Kaseya a payé la rançon ou l’a reçue gratuitement de REvil, un organisme d’application de la loi ou une société de sécurité privée.

Dans les jours qui ont suivi l’attaque, le site Web de REvil sur le dark web, ainsi que d’autres infrastructures que l’équipe utilise pour fournir une assistance technique et traiter les paiements, ont été soudainement perturbés. La sortie inexpliquée fait craindre aux victimes et aux chercheurs que les données soient verrouillées pour toujours, car les seules personnes capables de les déchiffrer ont disparu.

D’où vient-il?

REvil est l’un des nombreux groupes de rançongiciels censés opérer en dehors de la Russie ou d’un autre pays d’Europe de l’Est qui faisait autrefois partie de l’Union soviétique. La disparition du groupe intervient quelques jours après que le président Joe Biden a averti son homologue russe Vladimir Poutine que si la Russie ne maîtrisait pas ces groupes de ransomwares, les États-Unis pourraient prendre des mesures unilatérales contre eux.

Depuis lors, les observateurs ont émis l’hypothèse que Poutine a peut-être fait pression sur le groupe pour qu’il se taise ou que le groupe, perturbé par toute l’attention qu’il a reçue de l’attaque, a décidé de le faire lui-même.

Certaines des entreprises qui ont été victimes de l’attaque comprennent la chaîne d’épicerie suédoise COOP, Virginia Tech, deux villes du Maryland, une école en Nouvelle-Zélande et l’entreprise textile internationale Miroglio Group.

REvil était également à l’origine d’une attaque qui a paralysé JBS, le plus grand producteur de viande au monde. La violation a amené JBS à fermer temporairement plusieurs usines.

Bạn có thể quan tâm

lên đầu trang