Acceuil

Un fournisseur de logiciels pris dans l’attaque du ransomware REvil obtient une clé de décryptage

Kaseya aide actuellement à restaurer les systèmes des clients dont les réseaux étaient toujours verrouillés par le logiciel de REvil, a-t-il déclaré.

“Je peux confirmer que nous avons reçu un décrypteur et que nous travaillons actuellement pour aider les clients touchés par l’attaque”, a déclaré la porte-parole de Kaseya, Dana Liedholm. “Nous ne pouvons pas partager la source mais pouvons dire qu’elle provient d’un tiers de confiance.”

Liedholm a refusé de répondre à d’autres questions sur la question de savoir si la clé de décryptage avait été rétro-conçue à partir du malware REvil.

Brett Callow, analyste des menaces au sein de la société de cybersécurité Emsisoft, a déclaré que sa société avait vérifié l’efficacité de la clé pour restaurer les données des victimes.

“Nous travaillons avec Kaseya pour soutenir leurs efforts d’engagement client. Nous avons confirmé que la clé est efficace pour déverrouiller les victimes et continuerons à fournir un soutien à Kaseya et à ses clients”, a déclaré Callow à CNN.

Soulignant ce point, Drew Schmitt, analyste principal du renseignement sur les menaces chez GuidePoint Security, a déclaré que bien qu’il ne soit pas impliqué dans la situation à Kaseya, il est convaincu que la clé devrait fonctionner.

“Il y a des circonstances très limitées où j’ai obtenu un décrypteur au cours d’une négociation et j’ai découvert qu’il ne fonctionnait pas ou qu’il avait rencontré un problème majeur”, a déclaré Schmitt. “Le pourcentage de cas ou d’incidents où le décrypteur ne fonctionne pas à fond est vraiment, vraiment faible et est plus proche de zéro que tout.”

L’attaque de Kaseya a été appelé l’une des plus grandes attaques de ransomware de l’histoire. Le 2 juillet, des pirates affiliés à REvil – un gang de cybercriminels qui opérerait en Europe de l’Est ou en Russie – ont utilisé les outils de gestion à distance de Kaseya pour fournir aux clients de Kaseya des logiciels malveillants qui ont chiffré leurs données et les ont verrouillées.

On ne sait toujours pas comment les attaquants ont réussi à accéder au produit de Kaseya.

Qu'est-ce que c'est vraiment de négocier avec les attaquants de ransomware
De nombreux clients de Kaseya sont des sociétés d’assistance informatique qui aident les petites entreprises telles que les cabinets de dentistes, les restaurants locaux et les cabinets comptables à répondre à leurs besoins en matière de technologies de l’information. Lorsque les entreprises de soutien ont été touchées, leurs propres clients ont également été touchés, ce qui a incité Kaseya à estimer plus tard que jusqu’à 1 500 organisations dans le monde entier peut avoir été compromis par le ransomware.
REvil a émis une demande de rançon de 70 millions de dollars en échange d’une clé de décryptage qui pourrait déverrouiller tous les systèmes concernés à la fois. Mais même si certaines entreprises étaient encore sous le choc de l’attaque, REvil disparu d’internet – avec la plupart de ses sites Web qui deviennent sombres.
La mystérieuse disparition du groupe la semaine dernière a suscité des spéculations sur son sort. Le gouvernement américain a catégoriquement refusé de dire s’il a joué un rôle, bien que l’administration Biden a juré de sévir sur les ransomwares. Et, dans le cas de Colonial Pipeline, les forces de l’ordre américaines ont été en mesure de suivre et de récupérer une partie de l’argent que la société a versé à ses attaquants de ransomware – un groupe connu sous le nom de DarkSide qui a également disparu depuis.

Source link

Afficher plus

Articles similaires

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Bouton retour en haut de la page