Kaseya a reçu un décrypteur universel qui permet aux victimes de l’attaque du ransomware REvil du 2 juillet de récupérer leurs fichiers gratuitement.

Le 2 juillet, l’opération de ransomware REvil a lancé une attaque massive en exploitant une vulnérabilité zero-day dans l’application de gestion à distance Kaseya VSA pour chiffrer une soixantaine de fournisseurs de services gérés et environ 1 500 entreprises.

Après l’attaque, les acteurs de la menace ont demandé 70 millions de dollars pour un décrypteur universel, 5 millions de dollars pour les MSP et 40 000 $ pour chaque extension chiffrée sur le réseau d’une victime.

Revil demande une rançon de 70 millions de dollars
Revil demande une rançon de 70 millions de dollars

Peu de temps après, le gang du ransomware REvil a mystérieusement disparu et les acteurs de la menace ont fermé leurs sites de paiement et leur infrastructure.

Alors que la plupart des victimes ne payaient pas, la disparition du gang a empêché les entreprises qui auraient pu avoir besoin d’acheter un décrypteur de ne pas le faire.

Aujourd’hui, Kaseya a déclaré avoir reçu un décrypteur universel pour l’attaque de ransomware d’un « tiers de confiance » et le distribuer maintenant aux clients concernés.

« Nous pouvons confirmer que nous avons obtenu un décrypteur auprès d’un tiers de confiance, mais nous ne pouvons plus en dire plus sur la source », a déclaré à BleepingComputer la vice-présidente principale du marketing d’entreprise de Kaseya, Dana Liedholm.

« Nous avons fait valider l’outil par un tiers supplémentaire et avons commencé à le diffuser à nos clients concernés. »

Bien que Kaseya n’ait pas partagé d’informations sur la source de la clé, ils ont confirmé à BleepingComputer qu’il s’agissait de la clé de déchiffrement universelle pour l’ensemble de l’attaque, permettant à tous les MSP et à leurs clients de déchiffrer les fichiers gratuitement.

Lorsqu’on leur a demandé s’ils avaient payé une rançon pour recevoir un décrypteur, Kaseya a déclaré à BleepingComputer qu’ils « ne pouvaient ni confirmer ni nier cela ».

On ne sait pas ce qui a provoqué la fermeture et la clandestinité de l’opération de ransomware REvil, et plusieurs organismes internationaux chargés de l’application des lois ont déclaré à BleepingComputer qu’ils n’étaient pas impliqués…

Voir la source de cette publication