Home » Kaseya obtient un outil pour déverrouiller les données après une attaque de ransomware

Kaseya obtient un outil pour déverrouiller les données après une attaque de ransomware

by Nouvelles

Le fournisseur de technologie au centre d’une attaque de ransomware ce mois-ci a déclaré avoir obtenu un outil pour déverrouiller les données ciblées par des pirates informatiques lors d’un incident qui a perturbé des centaines d’entreprises dans plusieurs pays.

Kaseya Ltd., basée à Miami, a déclaré jeudi avoir reçu un décrypteur universel qui aiderait à restaurer tous les systèmes informatiques touchés par le piratage de l’un de ses produits le 2 juillet, qui a servi de tremplin aux pirates pour atteindre les écoles néo-zélandaises, une information néerlandaise. -entreprise de technologie et d’autres organisations. Le groupe de ransomware à l’origine de l’attaque a initialement demandé 70 millions de dollars pour un tel outil.

La porte-parole de Kaseya, Dana Liedholm, a décrit la source du décrypteur comme un tiers de confiance, refusant de préciser ou de commenter si une rançon avait été payée.

“Nous utilisons activement et avec succès l’outil pour aider les clients touchés par le ransomware”, a ajouté Mme Liedholm.

L’attaque visait le produit d’administrateur de système virtuel de Kaseya, qui aide les clients à gérer leurs réseaux informatiques. La société a publié une série de mises à jour de l’outil au cours des 10 derniers jours dans l’espoir d’atténuer les dommages causés par le piratage.

L’administration Biden affirme qu’elle adopte une approche de plus en plus agressive envers les ransomwares, renforce les cyber-normes pour les entrepreneurs fédéraux et perturbe les transactions utilisées pour blanchir les paiements de rançons, tout en exerçant davantage de pression publique sur la Russie, qui, selon elle, fournit un refuge aux groupes de piratage. Le Kremlin a démenti de telles affirmations.

Le directeur du Federal Bureau of Investigation, Christopher Wray, a déclaré au Wall Street Journal en juin que les autorités pourraient également aider certaines victimes à restaurer leurs systèmes sans engager des pirates.

« Je ne veux pas suggérer que c’est la norme, mais il y a eu des cas où nous avons même pu travailler avec nos partenaires pour identifier les clés de cryptage, ce qui permettrait ensuite à une entreprise de déverrouiller réellement ses données, même sans payer la rançon », a-t-il déclaré.

On ne sait pas si les autorités ont fourni à Kaseya le décrypteur mercredi. Un porte-parole du FBI a déclaré qu’il enquêtait sur le piratage de Kaseya mais a refusé de commenter davantage. Le Conseil national de sécurité n’a pas immédiatement répondu à une demande de commentaire.

Survenant au milieu d’une série de piratages qui ont perturbé l’infrastructure américaine, l’incident de Kaseya a représenté une escalade des tactiques de ransomware, selon les cyber-experts. Les pirates ont ciblé un fournisseur de services technologiques et distribué des ransomwares parmi ses clients et leurs clients respectifs, piratant sans discernement la chaîne d’approvisionnement numérique.

La violation initiale du produit de Kaseya a permis aux pirates d’atteindre des dizaines de clients qui l’ont utilisé, y compris d’autres fournisseurs de services, ont déclaré des responsables de l’entreprise. Les attaquants ont ensuite utilisé ces points d’accès pour pénétrer dans des réseaux informatiques comptant jusqu’à 1 500 victimes au total, mettant à rude épreuve les spécialistes de la cybersécurité qui ont répondu à une augmentation des ransomwares cette année.

« Depuis près de trois semaines maintenant, les fournisseurs de services gérés et les petites et moyennes [sized] les entreprises ont fait des heures supplémentaires pour récupérer et restaurer les systèmes », a déclaré John Hammond, chercheur principal en sécurité à la cyberentreprise Huntress Labs Inc., qui a enquêté sur l’attaque.

Kaseya a mis la main sur le décrypteur plus d’une semaine après qu’un groupe criminel prolifique soupçonné du piratage, connu sous le nom de REvil, se soit éteint. La disparition a intrigué les experts en cybersécurité et a laissé les victimes qui avaient négocié avec le groupe, sans se limiter aux victimes liées à Kaseya, dans une embardée.

Les négociateurs de rançon de la cyberentreprise GroupSense étaient en pourparlers avec REvil au nom d’un cabinet d’avocats piraté le 13 juillet lorsqu’ils ont remarqué que son infrastructure ne répondait pas, a déclaré le directeur général Kurtis Minder. Les sites de REvil pour discuter avec les victimes et “Happy Blog”, où il publiait des données volées, étaient en panne, a-t-il déclaré.

Plus de WSJ Pro Cybersécurité

Le cabinet d’avocats, qui n’était pas une victime liée à Kaseya et que M. Minder a refusé de nommer, avait espéré payer REvil pour une clé de déchiffrement au lieu de sauvegardes appropriées de ses données, a-t-il déclaré. M. Minder et d’autres cyberspécialistes travaillant avec de telles victimes se demandent maintenant si la clé de déchiffrement obtenue par Kaseya fonctionnera également pour elles.

Les décrypteurs ne restaurent pas nécessairement les données des entreprises aussi rapidement ou aussi complètement que les victimes le souhaiteraient, selon les cyber-experts. Mais l’outil Kaseya pourrait aider d’autres entreprises qui ont été touchées par les attaques REvil, a déclaré Mike Hamilton, responsable de la sécurité de l’information chez Critical Insight Inc., une entreprise qui travaille avec les victimes du gang.

“Si la clé est effectivement universelle”, a-t-il déclaré jeudi, “nous aimerions bien en avoir une copie.”

Écrire à David Uberti à [email protected]

Copyright © 2021 Dow Jones & Company, Inc. Tous droits réservés. 87990cbe856818d5eddac44c7b1cdeb8

.

You may also like

Leave a Comment

This site uses Akismet to reduce spam. Learn how your comment data is processed.