Acceuil

Le dévoilement de la clé de déchiffrement par la société de logiciels arrive trop tard pour de nombreuses victimes d’une attaque de ransomware dévastatrice

Kaseya avait obtenu une clé de décryptage, a indiqué la société, qui pourrait libérer tout fichier encore verrouillé par un logiciel malveillant produit par le gang criminel REvil, qui opérerait depuis l’Europe de l’Est ou la Russie.

Pour les organisations dont les systèmes étaient toujours hors ligne trois semaines après l’attaque, la nouvelle disponibilité d’un outil de décryptage a offert un signe d’espoir, en particulier après que REvil a mystérieusement disparu d’Internet et a laissé de nombreuses organisations incapables de contacter le groupe.

Mais pour beaucoup d’autres qui se sont déjà rétablis sans l’aide de Kaseya, soit en payant le gang de ransomware il y a des semaines, soit en restaurant minutieusement à partir de sauvegardes, l’annonce n’a été d’aucune aide – et ouvre un nouveau chapitre d’examen pour Kaseya car elle refuse de répondre aux questions. comment il a obtenu la clé et s’il a payé la demande de rançon de 70 millions de dollars ou un autre montant.

“Cela aurait été vraiment agréable d’avoir il y a trois semaines ; nous avons consacré plus de 2 000 heures de récupération maintenant”, a déclaré Joshua Justice, PDG du fournisseur informatique Just Tech, qui a travaillé 24 heures sur 24 pendant près de deux semaines pour obtenir les systèmes de plus de 100 clients fonctionnent à nouveau à partir des sauvegardes maintenues par Just Tech. “Bien sûr, nos clients ne pouvaient pas s’attendre à ce que nous restions assis.”

La justice a confirmé que l’outil que Kaseya a mis à disposition a fonctionné pour lui. Le porte-parole de Kaseya, Dana Liedholm, a déclaré vendredi à CNN que “moins de 24 heures” s’étaient écoulées entre le moment où il a obtenu l’outil et le moment où il a annoncé son existence, et qu’il fournissait la clé de décryptage aux sociétés de support technique qui sont ses clients – qui à son tour, utilisera l’outil pour déverrouiller les ordinateurs d’innombrables restaurants, bureaux de comptabilité et cabinets dentaires touchés par le piratage.

Afin d’accéder à l’outil, Kaseya exige que les entreprises signent un accord de non-divulgation, selon plusieurs experts en cybersécurité travaillant avec les entreprises concernées. Bien que de tels accords ne soient pas inhabituels dans l’industrie, ils pourraient rendre plus difficile la compréhension de ce qui s’est passé après l’incident. Kaseya a refusé de commenter les accords de non-divulgation.

Frustration

Certaines entreprises touchées par le logiciel malveillant de REvil sont frustrées par le déploiement de l’outil par Kaseya des semaines après l’attaque initiale, selon Andrew Kaiser, vice-président des ventes de la société de cybersécurité Huntress Labs, qui travaille avec trois sociétés de support technique affectées par le piratage.

“J’ai parlé à un fournisseur de services hier”, a déclaré Kaiser à CNN, “qui a dit:” Hé, écoutez, nous sommes une entreprise de 10 à 20 personnes. Nous avons passé plus de 2 500 heures-personnes à restaurer à partir de cela dans l’ensemble de notre entreprise. . Si nous avions su qu’il y avait un potentiel pour obtenir ce décrypteur il y a une semaine ou 10 jours, nous aurions pris des décisions très différentes. Maintenant, nous n’en sommes plus qu’à 10 ou 20 systèmes qui pourraient en bénéficier. ”

La plupart des entreprises dans la même position ont choisi de manger les coûts de récupération plutôt que de les répercuter sur les clients, a déclaré Kaiser, ce qui signifie qu’elles ont peut-être gaspillé du travail, du temps et de l’argent à effectuer une auto-récupération en cas de crise.

Même si certaines entreprises ont réussi à se remettre de l’attaque par elles-mêmes, de nombreuses autres ont lutté pendant des semaines en vain. Le problème s’est aggravé lorsque les sites Web de REvil ont disparu, rendant impossible de contacter le groupe pour effectuer des paiements de rançon ou demander une assistance technique. La disparition inexpliquée du groupe a conduit à de nombreuses spéculations selon lesquelles le gouvernement américain ou russe pourrait s’être impliqué, bien qu’aucun des deux pays n’en ait revendiqué le mérite. Les responsables américains ont refusé de commenter et un porte-parole du Kremlin a nié toute connaissance de l’affaire.

Les États-Unis accusent la Chine de piratage, ouvrant un nouveau front dans une cyber-offensive

La société de cybersécurité GroupSense travaillait avec deux organisations, une école privée de petite à moyenne taille et un cabinet d’avocats, qui se sont retrouvés à tenir le sac lorsqu’ils ne pouvaient plus communiquer avec REvil.

“Nous étions en négociations actives avec REvil lorsqu’ils ont été déconnectés”, a déclaré à CNN le directeur du renseignement de GroupSense, Bryce Webster-Jacobsen, plus tôt cette semaine. “Immédiatement, ce que nous avons obtenu des victimes avec lesquelles nous travaillions était : ‘Attendez, attendez, qu’est-ce que vous voulez dire que ces gars sont hors ligne ? Qu’est-ce que cela signifie pour nous ?'”

D’autres victimes avaient déjà payé une rançon à REvil. Une de ces organisations avait du mal à utiliser la clé qu’elle avait obtenue du groupe, a déclaré Critical Insight, une entreprise de cybersécurité que la victime a embauchée pour l’aider. Mais avec la disparition soudaine de REvil, la victime s’est retrouvée bloquée, selon Mike Hamilton, co-fondateur de Critical Insights. La victime, qui a refusé d’être nommée et n’avait pas de sauvegardes fiables, redoutait de devoir retourner chez ses clients pour demander de nouvelles copies de toutes les données dont elle avait besoin pour mener à bien ses projets.

L’annonce de Kaseya cette semaine signifiera probablement la restauration éventuelle des données de ces victimes. Mais cela ne change rien aux ressources qu’ils ont dû dépenser et aux décisions déchirantes qu’ils ont dû prendre, pendant le long laps de temps entre le moment où l’attaque s’est produite et le moment où Kaseya a annoncé un décrypteur dont les victimes ne savaient pas qu’il était une possibilité. .

“Trois, quatre, cinq jours supplémentaires pourraient faire la différence entre une entreprise qui continue à fonctionner et elle dit:” Nous ne pouvons pas avancer “”, a déclaré Kaiser.

L’énigme pour l’administration de Biden

Ce genre d’énigme a été pris en compte dans la réflexion de l’administration Biden alors que les responsables de l’application des lois et du renseignement ont exploré la mise hors ligne des groupes de ransomware, ont déclaré des personnes familières avec les discussions. Le Conseil national de sécurité en particulier a étudié comment éviter de blesser indirectement les victimes qui pourraient ne pas être en mesure de récupérer leurs données si les groupes criminels sont démantelés ou disparaissent.

L’administration s’est de plus en plus déplacée pour perturber les réseaux de ransomware, suivre les paiements de rançon et constituer une coalition internationale contre la cybercriminalité. Mais les responsables ont fermement refusé de dire si le gouvernement américain a joué un rôle dans la disparition de REvil. Le groupe, qui est également accusé d’avoir mené la récente attaque de ransomware contre le fournisseur de viande JBS Foods, s’est déconnecté peu de temps après qu’un haut responsable de l’administration a promis que les autorités américaines prendraient des mesures contre les groupes de ransomware « dans les jours et les semaines à venir ».

Une hygiène de base en matière de cybersécurité est le meilleur moyen pour les entreprises de se vacciner contre les ransomwares, a déclaré un porte-parole du NSC à CNN. Mais pour les victimes, l’administration examine comment sa stratégie de développement de ransomwares pourrait les affecter, a déclaré le porte-parole.

Qu'est-ce que c'est vraiment de négocier avec les attaquants de ransomware

Au fur et à mesure que de plus en plus d’organisations acceptent l’offre de décrypteur de Kaseya, il est possible que davantage d’informations soient révélées sur la façon dont l’entreprise a obtenu l’outil, a déclaré Kaiser.

Jusque-là, les experts en cybersécurité devaient deviner ce qui avait pu se passer. Plusieurs experts ont convenu que les théories se répartissent en grande partie dans quelques seaux principaux.

Il est techniquement possible, mais peu probable, que Kaseya ou l’un de ses partenaires aient réussi à désosser l’outil à partir du ransomware, a déclaré Drew Schmitt, analyste principal du renseignement sur les menaces chez GuidePoint Security. Des groupes comme REvil ont tendance à ne pas laisser de vulnérabilités dans leur code qui peuvent être exploitées, a-t-il ajouté.

Une théorie plus plausible, a-t-il dit, est que Kaseya a reçu l’aide de responsables de l’application des lois. Si la disparition de REvil était en fait le résultat d’une opération menée par le gouvernement, les autorités ont peut-être saisi un décrypteur qu’elles pourraient utiliser pour aider Kaseya, ont déclaré plusieurs experts en cybersécurité.

Il est également possible que REvil lui-même ait remis le décrypteur, soit volontairement, soit sous la pression des autorités américaines ou russes, a déclaré Kyle Hanslovan, PDG de Huntress Labs.

Mais le scénario le plus probable est aussi le plus simple, a déclaré Schmitt : que Kaseya ou quelqu’un agissant en son nom a payé la rançon.

Cela soulève d’autres questions auxquelles Kaseya n’a pas répondu : l’entreprise a-t-elle payé une rançon ? Si oui, quand ? Si l’entreprise a communiqué avec REvil après sa disparition, comment a-t-elle communiqué ?

“Il y a beaucoup de scénarios qui auraient pu se produire, mais nous n’avons pas beaucoup d’informations à dire d’une manière ou d’une autre”, a déclaré Schmitt, qui a ajouté que les informations sur la réponse de Kaseya à l’attaque “pourraient servir d’étude de cas pour les situations futures vont de l’avant.”


Source link

Afficher plus

Articles similaires

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Bouton retour en haut de la page