Kaseya obtient le décrypteur de ransomware universel

Kaseya, le fournisseur de services informatiques qui a fait l’objet d’une attaque de ransomware REvil / Sodinokibi orchestrée par une série de vulnérabilités dans son produit VSA plus tôt en Juillet 2021, dit qu’il a réussi à obtenir une clé de décrypteur universel pour permettre aux clients rançonnés de déverrouiller leurs fichiers gratuitement.

L’entreprise a pris possession de l’outil de decyption le 21 juillet et contacte actuellement les clients dont les systèmes étaient verrouillés par le syndicat REvil afin de les corriger.

« Nous pouvons confirmer que Kaseya a obtenu l’outil d’un tiers et avons des équipes aidant activement les clients touchés par le ransomware à restaurer leurs environnements, sans aucun rapport de problème ou de problèmes associés au décrypteur », a déclaré Kaseya dans un communiqué.

« Kaseya travaille avec Emsisoft pour soutenir nos efforts d’engagement client, et Emsisoft a confirmé que la clé est efficace pour débloquer les victimes.

L’attaque initiale, qui a eu lieu le vendredi 2 juillet, juste avant le week-end de vacances du jour de l’indépendance aux États-Unis, a vu environ 60 fournisseurs de services gérés (MSP) qui utilisent VSA crypté, avec des impacts importants sur des milliers de clients en aval, dont beaucoup de petites entreprises.

Le syndicat de ransomware REvil derrière l’attaque avait exigé un total de 70 millions de dollars pour fournir un décrypteur universel, mais un peu plus d’une semaine plus tard, une partie importante de l’infrastructure du groupe a été mise hors ligne pour des raisons qui n’ont toujours pas été établies.

Ceci, couplé avec l’insistance du PDG de Kaseya Fred Voccola que la société ne négocierait pas avec ses attaquants en aucune circonstance, et l’utilisation du terme « tiers de confiance » semblerait, au moment de la rédaction, suggérer que Kaseya n’a pas payé de rançon.

Le titre frère de Computer Weekly, SearchSecurity, a demandé à Kaseya si la réception de la clé était liée ou non à un paiement de rançon effectué par l’entreprise elle-même ou par un tiers, mais Kaseya a refusé de fournir plus de détails.

Cela a conduit à des spéculations dans la communauté de la sécurité selon lesquelles la clé a été remise par un affilié mécontent de REvil, que le gang a subi des pressions de la part du gouvernement russe pour qu’il remette la clé aux forces de l’ordre, ou qu’il a fait l’objet d’une action non encore divulguée par les autorités américaines.

Jake Moore d’Eset a déclaré qu’il était en effet probable que l’un de ces scénarios soit le plus probable. « Les outils de décryptage signifient soit que l’entreprise a payé la rançon, soit que les gouvernements se sont impliqués dans la découverte », a-t-il déclaré. « Il est généralement très rare de trouver un outil pour résoudre aussi simplement les problèmes, mais cela peut être le seul espoir pour les organisations touchées.

« Avec 19 jours depuis l’attaque, les entreprises touchées ont peut-être esquivé une énorme balle avec ce décrypteur et le sentiment écœurant de l’attaque peut maintenant renforcer leur sécurité future. »