Le cauchemar du ransomware de Kaseya est presque terminé

Près de trois semaines Il y a près de trois semaines, une attaque par ransomware contre une société de logiciels informatiques peu connue appelée Kaseya s’est transformée en une véritable épidémie, les pirates s’emparant des ordinateurs de 1 500 entreprises, dont une grande chaîne d’épicerie suédoise. La semaine dernière, le groupe notoire à l’origine du piratage a disparu d’Internet, laissant les victimes sans aucun moyen de payer et de libérer leurs systèmes. Mais aujourd’hui, la situation semble sur le point d’être résolue, grâce à l’apparition surprise, jeudi, d’un outil de décryptage universel.

Le piratage du 2 juillet est le plus grave qu’on puisse imaginer. Kaseya fournit un logiciel de gestion informatique populaire auprès des fournisseurs de services gérés (MSP), qui offrent une infrastructure informatique aux entreprises qui préfèrent ne pas s’en occuper elles-mêmes. En exploitant un bogue dans un logiciel destiné aux MSP, appelé Virtual System Administrator, le groupe de ransomware REvil a pu infecter non seulement ces cibles mais aussi leurs clients, provoquant une vague de dévastation.

Dans les semaines qui ont suivi, les victimes avaient en fait deux choix : payer la rançon pour récupérer leurs systèmes ou reconstruire ce qui avait été perdu grâce aux sauvegardes. Pour de nombreuses entreprises individuelles, REvil a fixé la rançon à environ 45 000 $. Il a tenté d’extorquer aux MSP jusqu’à 5 millions de dollars. Il avait également fixé le prix d’un décrypteur universel à 70 millions de dollars. Le groupe a ensuite baissé son prix à 50 millions de dollars avant de disparaître, probablement dans le but de faire profil bas pendant un moment de haute tension. Lorsqu’ils ont disparu, ils ont emporté leur portail de paiement avec eux. Les victimes se sont retrouvées bloquées, incapables de payer même si elles le voulaient.

Dana Liedholm, porte-parole de Kaseya, a confirmé à WIRED que l’entreprise a obtenu un décrypteur universel d’un  » tiers de confiance « , mais elle n’a pas précisé qui l’a fourni. « Nous avons une équipe qui travaille activement avec nos clients qui ont été affectés, et nous partagerons plus d’informations sur la façon dont nous rendrons l’outil disponible au fur et à mesure que ces détails seront disponibles », a déclaré Liedholm dans une déclaration par e-mail, ajoutant que la sensibilisation des victimes avait déjà commencé, avec l’aide de la société antivirus Emsisoft.

« Nous travaillons avec Kaseya pour soutenir leurs efforts de mobilisation des clients », a déclaré Brett Callow, analyste des menaces chez Emsisoft, dans un communiqué. « Nous avons confirmé que la clé est efficace pour débloquer les victimes et nous continuerons à fournir un soutien à Kaseya et à ses clients. »

La société de sécurité Mandiant a travaillé avec Kaseya sur la remédiation de manière plus générale, mais un porte-parole de Mandiant a renvoyé WIRED à Liedholm lorsqu’on lui a demandé des éclaircissements supplémentaires sur qui a fourni la clé de décryptage et combien de victimes en ont encore besoin.

La possibilité de libérer chaque appareil qui reste crypté est indéniablement une bonne nouvelle. Mais le nombre de victimes qu’il reste à aider à ce stade pourrait ne représenter qu’une partie relativement faible de la vague initiale. « La clé de décryptage est probablement utile à certains clients, mais c’est probablement trop peu et trop tard », déclare Jake Williams, directeur technique de la société de sécurité BreachQuest, dont plusieurs clients ont été touchés par la campagne REvil. En effet, tous ceux qui ont pu reconstituer leurs données, par le biais de sauvegardes, de paiements ou autres, l’ont probablement déjà fait. « Les cas où cela peut être le plus utile sont ceux où il y a des données uniques sur un système crypté qui ne peuvent tout simplement pas être reconstituées de manière significative », dit Williams. « Dans ces cas-là, nous avons recommandé aux organisations de payer immédiatement les clés de décryptage si les données étaient critiques. »

La plupart des victimes de REvil étaient des petites et moyennes entreprises ; en tant que clients MSP, elles sont par définition les types qui préfèrent externaliser leurs besoins informatiques – ce qui signifie qu’elles sont moins susceptibles d’avoir des sauvegardes fiables facilement disponibles. Pourtant, il existe d’autres moyens de reconstruire les données, même si cela signifie demander aux clients et aux fournisseurs d’envoyer tout ce qu’ils ont et de repartir de zéro. « Il est peu probable que quelqu’un ait espéré obtenir une clé « , dit M. Williams.