Kaseya obtient une clé de déchiffrement commune pour les récentes attaques de ransomware REvil

05:41 23/07/2021

Un porte-parole de l’entreprise a confirmé que la clé fonctionnait mais n’a pas divulgué la source, affirmant seulement qu’elle provenait d’un tiers de confiance.

kaseya-ransomware.jpg

Image : mundissima / Shutterstock

Souffrant d’une grave cyberattaque au début du mois, la société informatique d’entreprise Kaseya a déclaré jeudi avoir obtenu une clé de déchiffrement universelle pour les récentes victimes du ransomware REvil. Kaseya, vice-président principal du marketing d’entreprise, Dana Liedholm, a déclaré que la société avait obtenu les clés mercredi et qu’elle était opérationnelle. Liedholm ne révélera aucun détail sur comment et où il a été obtenu, à part dire qu’il provient d’un tiers de confiance.

VOIR : Ransomware : ce que les professionnels de l’informatique doivent savoir (PDF gratuit) (TechRepublic)

Dans une mise à jour d’un article en cours sur la récente cyberattaque, Kaseya a confirmé avoir reçu la clé de déchiffrement. La société a déclaré qu’elle s’efforçait d’aider les victimes touchées par l’attaque de ransomware et que les clients touchés par l’incident seraient contactés par un représentant de Kaseya.

“Nous pouvons confirmer que Kaseya a obtenu l’outil d’un tiers et a mis en place des équipes actives pour aider les clients touchés par les ransomwares à restaurer leurs environnements, sans aucun rapport”, a déclaré la société à propos de tout problème ou problème lié au décodeur. “Kaseya travaille avec Emsisoft pour soutenir nos efforts d’engagement client, et Emsisoft a confirmé que la clé est efficace pour débloquer les victimes.”

Erich Kron, défenseur de la sensibilisation à la sécurité chez KnowBe4, appelle le développement une excellente nouvelle pour les victimes de l’attaque mais souligne que beaucoup de dégâts ont été causés en termes de temps d’arrêt et de coûts de récupération. Bien que les données puissent être décryptées, les organisations doivent toujours récupérer leurs fichiers, leurs systèmes et leurs appareils.

“Même avec la sortie du décrypteur tout-en-un, les organisations dont les données ont été déchirées dans le cadre d’une infection par un ransomware, un problème courant avec REvil et les ransomwares modernes, devaient encore faire face à l’impact des violations de données et tout ça. “. “Pour les industries réglementées, cela peut être très coûteux.”

REGARDER: L’attaque Kaseya montre à quel point les logiciels tiers sont la méthode de distribution parfaite pour les ransomwares (TechRepublic)

Le 3 juillet, Kaseya a révélé avoir été victime d’une attaque de ransomware réussie contre son produit VSA, un programme utilisé par les fournisseurs de services gérés pour la surveillance et la gestion à distance des services informatiques à leurs clients. Assumant la responsabilité de l’incident, le groupe de ransomware REvil a stoppé l’attaque en exploitant une vulnérabilité zero-day dans le programme VSA, en diffusant des logiciels malveillants via une mise à jour logicielle malveillante.

L’attaque est devenue virale sur plus de 1 000 organisations utilisant les produits Kaseya. Le produit Kaseya VSA étant compromis, les serveurs VSA du client l’étaient également. Grâce à cette réaction en chaîne, REvil a pu infecter les systèmes et décrypter les fichiers de bon nombre de ces clients, conservant ainsi toutes leurs données contre rançon.

Dans son propre “Happy Blog”, REvil affirme que plus d’un million de systèmes ont été infectés, selon la société de sécurité Sophos. Le groupe a également fait une offre attractive à toutes les victimes de l’attentat. En échange de 70 millions de dollars de bitcoins, REvil publiera un décrypteur universel qui permettra à toutes les entreprises concernées de récupérer leurs fichiers.

Une théorie naturelle est que Kaseya a accepté l’offre de REvil et a gagné 70 millions de dollars pour la clé de déchiffrement. Cependant, la société affirme que la clé provient d’un tiers de confiance, ce qui, par définition, supprime REvil. Et l’état de REvil lui-même est maintenant un mystère.

La semaine dernière, le groupe de ransomware a semblé disparaître de la vue du public. Les sites Dark Web de REvil sont soudainement en panne. Son Blog du Bonheur n’existe plus. Même l’infrastructure sur laquelle la victime effectuera les paiements n’est plus accessible.

Les analystes et les experts de l’industrie ont spéculé sur la cause de l’action de disparition. Certains pensent que le groupe est en baisse après la récente attaque. D’autres ont suggéré que REvil s’était peut-être dissous avec la possibilité que ses membres soient à nouveau actifs ailleurs. Et certains se demandent si le gouvernement américain ou d’autres entités ont pu exercer des représailles contre le groupe, le forçant à quitter le réseau.

REGARDER: Attaques Kaseya : En quoi les attaques de ransomware ressemblent-elles aux startups et ce que nous devons faire pour les résoudre (TechRepublic)

Pendant ce temps, Kaseya essaie toujours de se remettre de l’attaque. Le 11 juillet, la société a publié un correctif pour corriger le bogue de sécurité pour tous les clients VSA sur site. Depuis lors, Kaseya a déployé des correctifs supplémentaires pour supprimer des bogues supplémentaires et résoudre des problèmes de fonctionnalité en raison de la sécurité renforcée introduite après le crash. Mais la menace des ransomwares est plus forte que jamais.

“Cela devrait être utilisé comme une leçon pour les organisations de toutes tailles, conduisant, espérons-le, à une meilleure protection au sein des organisations et des MSP”, a déclaré Kron.

“Chaque fois qu’une organisation fait confiance à des entités externes avec la clé de son royaume, elle est confrontée à un risque sérieux”, a ajouté Kron. « De même, lorsque les MSP obtiennent cet accès, il est impératif qu’ils protègent activement leurs clients. Pour les organisations qui ont été renversées par des ransomwares en raison d’un manque de sauvegardes ou si leurs sauvegardes sont compromises, elles sont cryptées, ce qui les rend vulnérables, c’est le moment idéal pour avoir des discussions difficiles avec leurs fournisseurs de services dans le but d’éliminer la menace à l’avenir.”

Regarde aussi

Bạn có thể quan tâm

lên đầu trang