Une patate chaude : début juillet, des pirates ont attaqué la gestion à distance et la plate-forme informatique Kaseya avec une attaque de ransomware du gang de ransomware REvil. Vers la fin de ce mois, il a reçu une clé de décryptage du FBI, utilisée pour déverrouiller les systèmes des victimes. Plus tôt ce mois-ci, la société de sécurité Bitdefender a publié un décrypteur universel pour aider les personnes concernées. Cette semaine, des responsables américains actuels et anciens ont déclaré au Washington Post que le FBI avait retenu la clé pendant près de trois semaines, au cours desquelles certaines victimes ont souffert.
Peu de temps après que Kaseya ait signalé l’attaque de REvil le 2 juillet, le Federal Bureau of Investigation a obtenu la clé de déchiffrement du ransomware en accédant aux serveurs de ce gang. En accord avec d’autres agences, le FBI a initialement retenu la clé car il prévoyait une opération pour perturber REvil et craignait que l’utilisation de la clé pour aider les victimes n’ait prévenu le gang. Cependant, REvil a disparu le 13 juillet, avant que le FBI ne puisse adopter son plan. Selon le Washington Post, cette disparition n’était due à aucune action du gouvernement américain.
« Les questions que nous posons à chaque fois sont : quelle serait la valeur d’une clé si elle était divulguée ? Combien y a-t-il de victimes ? Qui pourrait être aidé ? a déclaré une source anonyme au Washington Post. « Et d’un autre côté, quelle serait la valeur d’une opération potentielle à plus long terme pour perturber un écosystème? Ce sont les questions que nous continuerons à avoir à équilibrer. »
Le FBI a partagé la clé avec Kaseya le 21 juillet et la société de sécurité Emsisoft a pu l’utiliser pour préparer un outil de décryptage le lendemain. Le directeur du FBI, Christopher Wray, a suggéré lors d’une audience du Comité sénatorial de la sécurité intérieure que le décrypteur devait également être testé et validé. Cependant, le directeur de la technologie d’Emsisoft, Fabian Wosar, a affirmé que la société avait mis moins de 10 minutes pour le tester une fois la clé reçue. Dans le pire des cas, cela aurait pris environ quatre heures, a déclaré le CTO.
Image reproduite avec l’aimable autorisation de Bleeping Computer
Bien que les évaluations de Kaseya et du gouvernement américain aient déterminé que les dommages causés par l’attaque de REvil étaient plus légers qu’on ne le craignait initialement, cela a tout de même entraîné un coût substantiel pour certaines victimes au cours de la période précédant la publication de la clé par le FBI.
« La clé de décryptage aurait été utile trois semaines avant de l’avoir, mais nous avions déjà commencé une restauration complète des systèmes de nos clients », a déclaré Joshua Justice, propriétaire de la société informatique du Maryland, JustTech.
JustTech est l’un des clients de Kaseya touchés par l’attaque, et environ 120 des consommateurs de JustTech ont également été touchés.
« J’avais des personnes cultivées qui me criaient en personne et au téléphone pour me demander si leur entreprise allait continuer », a expliqué JustTech. « Un homme m’a dit : « Dois-je simplement prendre ma retraite ? Dois-je laisser partir mes employés ? » »
Le décrypteur universel de Bitdefender devrait aider toute victime touchée avant la disparition de REvil le 13 juillet. Des sources ont déclaré au Washington Post que l’agence d’application de la loi avec laquelle Bitdefender a travaillé pour libérer le décrypteur n’était pas le FBI.
REvil a depuis réapparu et a déjà annoncé de nouvelles victimes. Le décrypteur universel ne fonctionne pas pour les victimes de ces attaques plus récentes.