En début de mois, le ransomware REvil a beaucoup fait parler de lui dans le cadre d'une cyberattaque sur la chaîne d'approvisionnement qui a touché l'entreprise américaine Kaseya et son produit VSA de gestion des points d'accès et de surveillance du réseau informatique.
L'attaque a permis la diffusion de mises à jour malveillantes pour ce ransomware développé par un groupe russophone éponyme. Parmi les clients de Kaseya impactés, des fournisseurs de services managés pour d'autres entreprises. Près de 1 500 entreprises auraient ainsi été touchées.
Aujourd'hui, Kaseya informe avoir obtenu un déchiffreur pour les victimes de l'attaque par ransomware REvil, et dont l'efficacité a été confirmée par l'entreprise de cybersécurité Emsisoft. " Des équipes aident activement les clients affectés par le ransomware à restaurer leurs environnements. "
Mystère sur l'origine du déchiffreur
L'outil de déchiffrement a été obtenu auprès d'un tiers… sans plus de précision. Le groupe REvil avait initialement réclamé 70 millions de dollars en bitcoins pour un déchiffreur universel.
À Bleeping Computer, Kaseya a déclaré : " Nous pouvons confirmer que nous avons obtenu un déchiffreur d'un tiers de confiance, mais nous ne pouvons pas en dire plus sur la source. […] Nous avons fait valider l'outil par un autre tiers (ndlr : Emsisoft) et nous avons commencé à le distribuer à nos clients concernés. "
L'origine du déchiffreur demeure donc un mystère à ce stade. Kaseya n'a en outre pas voulu confirmer ou infirmer le paiement d'une rançon.
Y compris sur le Dark Web, les sites du groupe REvil ont récemment fermé. Une fermeture soudaine qui est intervenue peu de temps après une rencontre entre le président des États-Unis et son homologue russe. La question des attaques par ransomware perpétrées par des groupes basés en Russie avait été évoquée.
