Discussion :

[Nancy Rey]

La cyberattaque contre Kaseya, la plus importante attaque par ransomware au monde, a touché des milliers d'entreprises dans 17 pays ;
les hackers réclament 70 millions de dollars

À la veille de la fête nationale aux USA, la société Kaseya, qui édite des logiciels de gestion de réseau informatique pour les entreprises, a annoncé être victime d'une "cyberattaque sophistiquée". Kaseya a demandé à quelque 40 000 clients de déconnecter immédiatement son logiciel VSA. Mais une quarantaine de ses clients ont tout de même été affectés, a-t-elle précisé dans un communiqué, samedi 3 juillet. Plus de mille entreprises elles-mêmes clientes de cette quarantaine de sociétés touchées risquent d'être victimes de tentatives d'extorsion. Les équipes de cybersécurité ont travaillé fébrilement dimanche pour endiguer l'impact de la plus grande attaque mondiale de ransomware jamais enregistrée et certains détails sont apparus sur la manière dont le gang lié à la Russie a pénétré dans l'entreprise dont le logiciel était le vecteur.

Selon des chercheurs en cybersécurité, une filiale du célèbre gang REvil, surtout connu pour avoir extorqué 11 millions de dollars à l'entreprise de transformation de la viande JBS après une attaque survenue lors du Memorial Day, a infecté vendredi dernier des milliers de victimes dans au moins 17 pays, principalement par l'intermédiaire d'entreprises qui gèrent à distance l'infrastructure informatique de plusieurs clients. REvil demandait des rançons allant jusqu'à 5 millions de dollars, selon ces chercheurs. Mais tard dimanche, il a proposé dans une publication sur son site dark web une clé logicielle de déchiffrement universelle qui permettrait de débrouiller toutes les machines affectées en échange de 70 millions de dollars en cryptomonnaies.

Le FBI a déclaré dans un communiqué que, pendant qu'il enquêtait sur l'attaque, son ampleur « pourrait faire en sorte que nous ne soyons pas en mesure de répondre à chaque victime individuellement ». La conseillère adjointe à la sécurité nationale, Anne Neuberger, a ensuite publié une déclaration indiquant que le président Joe Biden avait « ordonné l'utilisation de toutes les ressources du gouvernement pour enquêter sur cet incident » et a exhorté tous ceux qui pensaient avoir été compromis à alerter le FBI.

Le président Biden a laissé entendre samedi que les États-Unis réagiraient s'il était établi que le Kremlin était impliqué. Il y a moins d'un mois, Joe Biden avait pressé le président russe Vladimir Poutine de cesser de donner asile à REvil et à d'autres gangs de rançongiciels dont les attaques extorquées incessantes sont considérées par les États-Unis comme une menace pour la sécurité nationale.

De nombreuses entreprises paralysées

Un large éventail d'entreprises et d'organismes publics ont été touchés par la dernière attaque, apparemment sur tous les continents, y compris dans les services financiers, les voyages et les loisirs et le secteur public – mais peu de grandes entreprises, a indiqué la société de cybersécurité Sophos. Les criminels du ransomware s'infiltrent dans les réseaux et sèment un malware qui les paralyse en brouillant toutes leurs données. Les victimes obtiennent une clé de décodage lorsqu'elles paient.

Fred Voccola, PDG de l'éditeur de logiciels Kaseya, a estimé le nombre de victimes à quelques milliers, principalement des petites entreprises telles que « des cabinets dentaires, des cabinets d'architectes, des centres de chirurgie plastique, des bibliothèques, etc. ». Voccola a déclaré dans une interview que seuls 50 à 60 des 37 000 clients de l'entreprise ont été compromis. Mais 70 % d'entre eux étaient des fournisseurs de services gérés qui utilisent le logiciel VSA piraté de l'entreprise pour gérer plusieurs clients. Ce logiciel automatise l'installation de logiciels et de mises à jour de sécurité et gère les sauvegardes et d'autres tâches essentielles.

Selon les experts, ce n'est pas une coïncidence si REvil a lancé son attaque au début du week-end du 4 juillet, sachant que les bureaux américains seraient peu occupés. De nombreuses victimes risquaient de ne l'apprendre qu'à leur retour au travail le lundi. La plupart des utilisateurs finaux des fournisseurs de services gérés "n'ont aucune idée" des logiciels qui font fonctionner leurs réseaux, a déclaré Fred Voccola,

Kaseya corrigeait un zero-day au moment où le ransomware REvil lançait son attaque

La vulnérabilité de type "zero-day" utilisée pour pénétrer dans les serveurs Kaseya VSA sur site était en cours de correction, juste au moment où le gang du ransomware REvil l'a utilisée pour mener une attaque massive vendredi. La vulnérabilité avait déjà été signalée à Kaseya par des chercheurs en sécurité de l'Institut néerlandais pour la divulgation des vulnérabilités (DIVD), et Kaseya validait le correctif avant de le déployer auprès de ses clients. Toutefois, dans ce qui ne peut être considéré que comme un cas de mauvais timing, le gang du ransomware REvil a devancé Kaseya et a utilisé le même zéro-day pour mener son attaque du vendredi soir contre les fournisseurs de services gérés du monde entier et leurs clients.

« Après cette crise, il y aura la question de savoir qui est à blâmer. De notre côté, nous aimerions mentionner que Kaseya a été très coopératif. Dès que Kaseya a eu connaissance des vulnérabilités que nous avions signalées, nous avons été en contact et en coopération constants avec eux. Lorsque des éléments de notre rapport n'étaient pas clairs, ils ont posé les bonnes questions », a déclaré Victor Gevers, chercheur en sécurité et président de DIVD dans un billet de blog.

« De même, des correctifs partiels ont été partagés avec nous pour valider leur efficacité. Tout au long du processus, Kaseya a montré qu'elle était prête à déployer un maximum d'efforts et d'initiatives dans cette affaire, à la fois pour résoudre ce problème et pour que ses clients bénéficient de correctifs… Ils ont montré un véritable engagement à faire ce qui est juste. Malheureusement, nous avons été battus par REvil dans le sprint final, car ils ont pu exploiter les vulnérabilités avant que les clients ne puissent même patcher », a ajouté Gevers.

On sait peu de choses sur le zero-day. La vulnérabilité zero-day de Kaseya a été découverte par le chercheur Wietse Boonstra de DIVD et a reçu l'identifiant CVE-2021-30116. Interrogé sur la façon dont REvil a eu connaissance de la vulnérabilité alors qu'elle était en cours de correction, Gevers a indiqué dans un tweet que la vulnérabilité était simple à exploiter. Gevers a déclaré que la divulgation de la vulnérabilité était « dans le délai standard de l'industrie pour la divulgation coordonnée de la vulnérabilité », et qu'ils fourniraient plus d'informations dans un prochain avis.

Kaseya a embauché la firme spécialisée dans la cybersécurité FireEye Mandiant IR pour l'aider à gérer la crise. Lorsque la société de cybersécurité terminera son enquête, Fred Voccola est convaincu qu'elle montrera que les criminels n'ont pas seulement violé le code Kaseya en s'introduisant dans son réseau, mais qu'ils ont également exploité des vulnérabilités dans des logiciels tiers.

Actif depuis avril 2019, REvil fournit des ransomware-as-a-service, ce qui signifie qu'il développe le logiciel de paralysie du réseau et le loue à de soi-disant affiliés qui infectent les cibles et se taillent la part du lion des rançons. Selon les autorités américaines, les gangs de rançongiciels les plus puissants sont basés en Russie et dans les pays alliés. Ils opèrent avec la tolérance du Kremlin et collaborent parfois avec les services de sécurité russes.

L'expert en cybersécurité Dmitri Alperovitch, du groupe de réflexion Silverado Policy Accelerator, a déclaré que, même s'il ne pense pas que l'attaque de Kaseya soit dirigée par le Kremlin, elle montre que Poutine "n'a pas encore agi" pour mettre fin aux activités des cybercriminels.

Sources : Kaseya, DIVD, FBI

Et vous ?

Quel est votre avis sur le sujet ?

Voir aussi :

« La Russie est prête à extrader des cybercriminels vers les États-Unis sur une base réciproque », déclare Vladimir Poutine. Avant le prochain échange sur la sécurité avec son homologue américain

Les pirates derrière la récente attaque de ransomware Colonial Pipeline ont reçu un total de 90 millions de dollars, en paiements de rançons bitcoin avant d'arrêter leurs activités

L'attaque de DarkSide sur l'un des plus gros oléoducs de la Colonial Pipeline vue par Vladimir Kuskov, Head of threat exploration au sein de Kaspersky

[Bill Fassinou]

Les USA avertissent la Russie qu'ils prendront des mesures contre les gangs de ransomwares présents sur son territoire si elle ne le fait pas
quelques jours après l'attaque contre Kaseya

Environ trois semaines après la rencontre entre le président russe Vladimir Poutine et le président des États-Unis Joe Biden à Genève, en Suisse, Washington envoie un autre message fort à Moscou quant aux présumés gangs de ransomwares qui opèrent depuis son territoire. L'attachée de presse de la Maison Blanche, Jen Psaki, a déclaré mardi que les États-Unis prendraient des mesures contre les groupes cybercriminels russes si Moscou refusait de le faire. Cette déclaration intervient quelques jours après l'attaque sophistiquée de ransomware qui a touché des centaines d'entreprises américaines et conduit à des soupçons d'implication de gangs russes.

Washington ripostera si l'attaque contre Kaseya à son origine en Russie

Les attaques de ransomware sont devenues un véritable fléau vers la fin de la décennie précédente. Au cours de ces trois dernières années, les gangs de ransomwares se sont attelés à soutirer des millions de dollars aux grandes entreprises, notamment aux entrepreneurs de l'État gérant des infrastructures critiques et vitales, aux États-Unis, en Europe et ailleurs. Une grande majorité de ces attaques sont très souvent attribuées à des groupes de ransomwares prétendument affiliés à la Russie, mais cette dernière a toujours nié ces accusations, ajoutant qu'elle subit aussi des attaques ayant leurs sources dans les pays de l'Ouest.

En juin toutefois, les États-Unis et la Russie ont décidé de s'allier contre les pirates informatiques après une entrevue entre Biden et Poutine à Genève. Cependant, les premiers signes d'une collaboration effective entre les deux pays contre les groupes de ransomwares tardent à venir. Entretemps, ces derniers continuent à attaquer des organisations et installations basées aux États-Unis. Ainsi, Kaseya, une société américaine de logiciels qui développe des logiciels de gestion de réseaux, de systèmes et d'infrastructures informatiques, dont le siège est à Miami, a fait l'objet d'une attaque dévastatrice le week-end dernier.

L'attaque a été répertoriée comme la plus grande attaque de ransomware jamais enregistrée, car elle aurait touché des centaines d'entreprises américaines et des milliers dans 17 pays. REvil, un gang de cybercriminels, qui serait basé en Russie et affilié à Moscou, s'est attribué plus tard le mérite de l'attaque. Le gang serait également responsable de l'attaque par ransomware qui a provoqué la fermeture temporaire du géant mondial de la viande JBS le mois dernier. En conférence de presse ce mardi, Psaki a donné une idée de la façon dont Washington envisage de faire face aux attaques de ransomware.

Pendant le point de presse, Psaki a déclaré que les États-Unis se réservaient le droit de prendre des mesures à l'encontre de ces cybercriminels si la Russie ne le faisait pas. « Si le gouvernement russe ne peut ou ne souhaite pas prendre des mesures contre les acteurs criminels résidant en Russie, nous prendrons des mesures ou nous nous réservons le droit de prendre des mesures de notre côté », a déclaré Psaki. Notons que le président Biden a défini plusieurs "lignes rouges" lors du sommet qui a réuni les deux chefs d'État à Genève le mois dernier, mettant en garde contre des sanctions si la Russie les franchissait.

Les cyberattaques visant les 16 catégories d'infrastructures critiques ont été jugées "hors limites" et Biden a ajouté que les États-Unis ne toléreraient pas que la Russie héberge des cybercriminels connus. L'administration a réitéré sa position mardi, menaçant d'éventuelles représailles pour la dernière attaque. Samedi, Biden a déclaré qu'il n'était "pas encore sûr" que le gouvernement russe est à l'origine de l'attaque contre Kaseya, mais a averti que le pays riposterait le cas échéant. « Si c'est à la connaissance de la Russie et/ou une conséquence de la Russie, alors j'ai dit à Poutine que nous répondrons », a déclaré Biden aux journalistes.

Washington et Moscou cherchent toujours un plan d'action commun

L'attaque contre Kaseya a mis l'administration Biden sur la défensive, mais à l'heure actuelle, aucun rapport n'a conclu qu'elle a été perpétrée par des cybercriminels basés en Russie. Biden a demandé aux services de renseignement américains d'enquêter sur l'attaque de Kaseya. « Maintenant, la communauté du renseignement n'a pas encore attribué l'attaque. La communauté de la cybersécurité s'accorde à dire que REvil opère depuis la Russie avec des affiliés dans le monde entier », a déclaré mardi Psaki. Ainsi, bien que REvil ait revendiqué l'attaque, Biden veut en avoir la certitude avant de lancer sa contre-attaque.

REvil affirme avoir chiffré plus de 1 000 000 de systèmes dans le cadre de cette attaque à grande échelle de la chaîne d'approvisionnement et, après avoir initialement demandé 70 millions de dollars, il demande maintenant 50 millions de dollars pour livrer une clé de déchiffrement universel. Kaseya a déclaré que les attaquants ont compromis jusqu'à 1 500 entreprises en aval et que "cette attaque n'a jamais constitué une menace et n'a eu aucun impact sur les infrastructures critiques", même si la CISA considère le secteur des technologies de l'information comme un secteur d'infrastructures critiques.

« L'attaque a eu un impact limité, avec seulement environ 50 des plus de 35 000 clients de Kaseya ayant été violés. Sur les quelque 800 000 à 1 000 000 d'entreprises locales et petites qui sont gérées par les clients de Kaseya, seuls 800 à 1 500 environ ont été compromis », a déclaré l'entreprise. Le PDG de Kaseya, Fred Voccola, a également ajouté que cette « attaque hautement sophistiquée s'est avérée, heureusement, largement surestimée ». En outre, les dirigeants du G7 ont également demandé à la Russie le mois dernier de perturber de toute urgence les gangs de ransomwares censés opérer à l'intérieur de ses frontières.

Certains critiques n'ont pas tardé à qualifier d'échec la démarche de Biden auprès de la Russie, estimant que le discours musclé du président à Genève n'a pas réussi à empêcher une autre attaque massive de ransomware. « Quelques semaines seulement après que le président Biden s'est assis avec Poutine et a prétendument parlé d'un jeu dur avec la Russie, des pirates informatiques russes ont à nouveau attaqué des milliers d'entreprises américaines, compromettant l'infrastructure critique de notre nation », a déclaré le représentant John Katko (R-N.Y.), membre de la commission de la sécurité intérieure de la Chambre des représentants.

D'autres ont toutefois déclaré qu'il était prématuré de considérer le sommet de Genève comme un échec. Il est probable que la cyberattaque était en cours bien avant la rencontre des présidents russe et américain. Concernant la collaboration entre les deux pays pour contrer les cyberattaques, Psaki a déclaré que les responsables américains et russes devraient à nouveau se rencontrer la semaine prochaine pour discuter des attaques par ransomware.

Source : Maison Blanche

Et vous ?

Quel est votre avis sur le sujet ?
Pensez-vous que le groupe REvil est lié à Moscou ?
Washington peut-il attaquer des installations en Russie en guise de représailles ?

Voir aussi

La cyberattaque contre Kaseya, la plus importante attaque par ransomware au monde, a touché des milliers d'entreprises dans 17 pays ; les hackers réclament 70 millions de dollars

Les derniers piratages russes montrent à quel point les "groupes criminels" sont utiles au Kremlin. Les codeurs russes travailleraient avec le gouvernement, qui, de son côté, couvre leurs activités

Les pirates informatiques obligent Joe Biden à adopter une position plus agressive à l'égard de la Russie, suite au piratage du géant agroalimentaire JBS

Le responsable sécurité de la Russie déclare que Moscou va coopérer avec les USA contre les pirates informatiques : objectif atteignable avec un peu de volonté des parties ? Utopie ?

Un tribunal autorise le FBI à pirater des ordinateurs dans tous les États-Unis afin de pouvoir éradiquer un piratage informatique, l'agence a supprimé une porte dérobée de centaines d'ordinateurs

[Patrick Ruiz]

Le code de la grosse attaque par rançongiciel contre Kaseya a été mis au point pour éviter les ordinateurs qui utilisent la langue russe
Selon de récents retours de firmes spécialistes en sécurité

Le code informatique à l'origine de l'attaque massive de rançongiciel menée par le réseau de pirates Revil contre Kaseya a été mis au point de manière à ce que le logiciel malveillant évite les systèmes qui utilisent le russe ou des langues apparentées. C’est un dénominateur commun avec l’attaque par rançongiciel montée par le groupe Darkside contre Colonial Pipeline. La preuve ultime de ce que la plupart des rançongiciels proviennent de Russie ? Le questionnement intervient dans un contexte où l’OTAN envisage des ripostes par la voie militaire contre les cyberattaques.

Le rançongiciel Revil évite les systèmes dont les langues par défaut proviennent de ce qui était la région de l'URSS. Cela inclut le russe, l'ukrainien, le biélorusse, le tadjik, l'arménien, l'azerbaïdjanais, le géorgien, le kazakh, le kirghize, le turkmène, l'ouzbek, le tatar, le roumain, le russe moldave, le syriaque et l'arabe syriaque. En mai, l'expert en cybersécurité Brian Krebs notait que le ransomware de DarkSide, le groupe qui a attaqué Colonial Pipeline le même mois, contient de même une fonctionnalité pour éviter les ordinateurs qui utilisent la langue russe. En d’autres termes, la simple installation d'un clavier virtuel en langue russe sur un ordinateur fonctionnant sous Microsoft Windows est susceptible d’amener le logiciel malveillant à contourner une machine cible.

Colonial exploite le plus grand oléoduc de carburant des États-Unis et a dû interrompre toutes ses activités pendant plusieurs jours pour tenter de se remettre en marche, ce qui a entraîné des pénuries de gaz dans tout le pays. Grosso modo, le tableau de rançongiciels mis au point pour éviter les systèmes qui utilisent les langes de l’ex-URSS laisse penser que les groupes derrière ces attaques sont autorisés à opérer en toute impunité depuis la Russie et d'autres États de l'ex-Union soviétique, ce, à condition qu'ils concentrent leurs attaques sur les États-Unis et l'Occident.

Les dernières révélations sur le rançongiciel du groupe Revil interviennent au moment où les USA considèrent désormais les attaques par rançongiciels comme des actes de terrorisme. L’effort sera piloté par une force opérationnelle constituée de diverses composantes du Département de la justice des États-Unis : les bureaux des procureurs des USA, la section des crimes informatiques et de la propriété intellectuelle, la section du blanchiment d'argent et recouvrement des actifs, la division de la sécurité nationale et le FBI. Objectif : traiter les attaques aux rançongiciels avec la même priorité que les cas de terrorisme en leur appliquant pour la première fois le même modèle d’investigation.

Ce groupe de travail a la charge de l'élaboration d'une stratégie qui cible l'ensemble de l'écosystème criminel autour des rançongiciels. Ses prérogatives touchent en sus à la gestion des aspects prioritaires en lien avec les poursuites judiciaires, l'interruption des attaques en cours et la limitation des services qui soutiennent les attaques, tels que les forums en ligne qui font la promotion de la vente de rançongiciels ou les services d'hébergement qui facilitent les campagnes de diffusion des rançongiciels. Enfin, le but ultime de l’initiative est d’identifier les individus qui participent à des attaques informatiques.

L’organisation militaire de l’OTAN de son côté envisage de riposter par la voie militaire aux cyberattaques qu’elle classe comme des attaques armées. Le communiqué de l’Organisation y relatif dénote du sérieux avec lequel elle prend la multiplication des cyberattaques contre ses pays membres et leurs entreprises ou services publics : « Les cybermenaces pesant sur la sécurité de l’Alliance sont complexes, destructrices, coercitives et de plus en plus fréquentes. Cela a été illustré récemment par des incidents de type ransomware et d’autres cyberactivités malveillantes visant nos infrastructures critiques et nos institutions démocratiques, qui pourraient avoir des effets systémiques et causer des dommages importants. »

« Il appartient au Conseil de l’Atlantique Nord de décider au cas par cas à quel moment une cyberattaque peut conduire à l’invocation de l’article 5. Les Alliés reconnaissent que l’impact de cyberactivités cumulatives malveillantes importantes pourrait, dans certaines circonstances, être considéré comme équivalant à une attaque armée », ajoute-t-elle. L’Otan se dit prêt à envisager d’éventuelles réponses collectives, voire à imposer des coûts à ceux qui lui nuisent si nécessaire.

Sources : Trustwave, Communiqué OTAN

Et vous ?

Les rancongiciels qui évitent les systèmes qui utilisent les langues de l’ex-URSS sont-ils la preuve ultime qu’ils proviennent de Russie ?
Quel commentaire faites-vous du positionnement de l’OTAN ?

Voir aussi :

France : Les hackers de l'État russe ont ciblé les serveurs Centreon dans le cadre d'une campagne qui a duré des années, un rapport de l'ANSSI expose ces nouvelles attaques du groupe Sandworm

2021 sera l'année du "ransomware 2.0", avec des attaques de plus en plus agressives, une ingénierie sociale plus professionnelle et des malwares plus innovants, selon G DATA CyberDefense

Les pirates derrière la récente attaque de ransomware Colonial Pipeline ont reçu un total de 90 millions de dollars, en paiements de rançons bitcoin avant d'arrêter leurs activités

Une seconde ville de Floride décide de payer les hackers après une attaque de ransomware. En deux semaines la Floride a payé 1,1 million de dollars

[micka132]

Les rancongiciels qui évitent les systèmes qui utilisent les langues de l’ex-URSS sont-ils la preuve ultime qu’ils proviennent de Russie ?

Probable? Oui!
Ultime ? Non !
Par contre s'il y a l'adresse des hackeurs dans le code source alors là ca serait imparable! Sérieusement, en quoi ca pourrait être l'ombre d'une preuve imparable quand n'importe qui depuis n'importe quel pays peut faire la même chose?

[BleAcheD]

J'imagine que c'est pour éviter d'énerver oncle Vlad

[Nancy Rey]

Le gang des ransomwares REvil disparaît du Web après l'avertissement de Joe Biden,
ses sites Web ont été mis hors ligne mardi matin et personne ne sait exactement pourquoi

Les sites Web gérés par le gang de ransomware REvil sont soudainement devenus inaccessibles hier, suscitant de nombreuses spéculations sur le fait que le groupe avait été mis hors ligne. Ce réseau de cybercriminels lié à la Russie a perçu des dizaines de millions de dollars en rançons en échange de la restauration de systèmes informatiques qu'il a piratés. Ces dernières semaines, il a revendiqué la responsabilité d'une vaste épidémie de ransomware qui a touché entre 800 et 1 500 entreprises dans le monde. Cette disparition intervient dans un contexte de pression croissante entre les États-Unis et la Russie en matière de cybercriminalité. Bien que l'on ne sache pas encore pourquoi le groupe a disparu, certaines théories circulent sur ce qui a pu lui arriver. Les principales sont les suivantes : ils ont été piratés par un organisme d'application de la loi russe ; ils ont été piratés par un organisme d'application de la loi américain ; ils ont décidé d'entrer dans la clandestinité pour une raison inconnue.

Les sites Web et d'autres infrastructures appartenant à la bande cybercriminelle, qui opère- vraisemblablement depuis l'Europe de l'Est ou la Russie, ont disparu mardi, lorsque des observateurs attentifs du groupe ont constaté qu'ils ne pouvaient pas se connecter à la page Web de REvil répertoriant ses victimes. D'autres ont déclaré ne pas pouvoir se connecter aux sites que REvil utilise pour communiquer avec ses victimes et collecter les rançons. « Tous les sites de REvil sont hors service, y compris les sites de paiement et de fuite de données. Le représentant public du gang des ransomwares, est étrangement silencieux », a tweeté Lawrence Abrams, créateur du blog sur la sécurité informatique BleepingComputer.

Les raisons de la disparition de REvil n'ont pas été immédiatement élucidées, mais elle fait suite à une série de piratages très médiatisés par le groupe qui a pris le contrôle d'ordinateurs dans le monde entier. Elle intervient également après que le président Joe Biden a déclaré avoir averti son homologue russe Vladimir Poutine que des conséquences seraient à craindre si Moscou ne faisait pas face aux attaques de ransomware émanant de ses frontières. L'administration Biden considère de plus en plus les ransomwares comme une menace pour la sécurité nationale et économique, soulignant leur capacité à perturber les infrastructures critiques dont dépendent les Américains.

Les rançongiciels verrouillent un réseau informatique, volent et chiffrent des données jusqu'à ce que les victimes acceptent de payer une somme d'argent. Ceux qui refusent peuvent voir leurs informations divulguées en ligne. Ces dernières années, les gangs de rançongiciels se sont attaqués à des hôpitaux, des universités, des services de police, des administrations municipales et à un large éventail d'autres cibles.

Au cours du week-end du 4 juillet, les experts en cybersécurité ont déclaré que REvil était responsable d'une attaque contre Kaseya, une société de logiciels informatiques qui soutient indirectement d'innombrables petites entreprises, notamment des cabinets comptables, des restaurants et des cabinets dentaires. REvil a revendiqué l'attaque, exigeant une rançon de 70 millions de dollars pour libérer les machines touchées. Des responsables américains ont également déclaré que REvil était à l'origine de l'attaque contre JBS, l'une des plus grandes entreprises d'emballage de viande au monde. REvil a obtenu 11 millions de dollars de la part des victimes dans le cadre de ses activités, selon le site de suivi des paiements en cryptomonnaies Ransomwhere.

Les spéculations des experts en cybersécurité

La disparition soudaine du groupe a suscité de nombreuses spéculations sur ce qui a pu se passer. Les théories vont d'un arrêt planifié du système à une attaque gouvernementale coordonnée. Mais à ce stade, les experts en sont encore aux suppositions.

« Cette panne pourrait être une maintenance criminelle, un retrait planifié ou, plus probablement, le résultat d'une réponse offensive à l'entreprise criminelle – nous ne savons pas », a déclaré Steve Moore, stratège en chef de la sécurité à la société de cybersécurité Exabeam.

Dmitri Alperovitch, cofondateur de la société de cybersécurité CrowdStrike, a émis l'hypothèse que les gouvernements occidentaux pourraient faire pression sur les sociétés d'infrastructure Internet pour qu'elles ne répondent pas aux demandes des navigateurs Web concernant les sites de REvil.

Drew Schmitt, analyste principal des renseignements sur les menaces chez GuidePoint Security, a averti que si l'impossibilité de se connecter aux sites de REvil peut être un indicateur potentiel de l'implication des forces de l'ordre, elle ne le prouve pas de manière concluante. « La semaine dernière, le site de REvil a également été indisponible pendant un certain temps », a-t-il déclaré.

REvil fait partie des attaquants de ransomware les plus prolifiques, selon la société de cybersécurité CheckPoint. Rien qu'au cours des deux derniers mois, REvil a mené 15 attaques par semaine, a déclaré Ekram Ahmed, porte-parole de CheckPoint. Compte tenu de l'attention qu'il a suscitée, REvil a peut-être volontairement choisi de faire profil bas pendant un certain temps, a ajouté Ahmed. «Nous recommandons de ne pas tirer de conclusions immédiates, car il est encore tôt, mais REvil est, en effet, l'un des gangs de ransomware les plus impitoyables et créatifs que nous ayons jamais vus ».

Anne Neuberger, la plus haute responsable de la Maison Blanche en matière de cybercriminalité, voyageait avec Biden mardi, mais les raisons pour lesquelles elle accompagnait le président à Philadelphie n'étaient pas claires.

Pour le responsable d'une société de cybersécurité, la possibilité que quelqu'un – le gouvernement américain ou autre – ait mis le groupe hors ligne a suscité quelques inquiétudes. « S'il s'agissait d'une cyberoffensive organisée, j'espère que les dommages collatéraux ont été pris en compte », a déclaré Kurtis Minder, fondateur de la société de renseignement sur les menaces GroupSense.

Les criminels à la recherche de ransomwares et leurs victimes sont en quelque sorte codépendants, les mauvais acteurs détenant les clés des données chiffrées de leurs victimes. Si ces clés ont été perdues ou détruites lors d'une cyberattaque, « de nombreuses entreprises et personnes vont avoir du mal à s'en remettre », a-t-il déclaré.

Détruire un ou deux serveurs de cybercriminels n'est pas une mesure qui vaut la peine à long terme, a-t-il ajouté. « REvil est l'un des dizaines d'opérateurs majeurs de ransomware. Allons-nous les attaquer tous ? », a-t-il dit.

Source : Reuters

Et vous ?

À votre avis, la disparition soudaine du groupe Revil est-elle le fait d'un arrêt planifié du système ou alors d’une attaque gouvernementale coordonnée ?

Quelles peuvent être selon vous les répercutions d’une telle disparition ?

Voir aussi :

Les pirates informatiques obligent Joe Biden à adopter une position plus agressive à l'égard de la Russie suite au piratage du géant agroalimentaire JBS

Apple est la cible d'une attaque par ransomware de 50 millions de dollars de la part d'un groupe de pirates russes, qui affirme avoir piraté et volé des plans de nouveaux produits

Le fabricant d'ordinateurs Acer serait victime d'une attaque par rançongiciel, les cybercriminels réclament la somme record de 50 millions de dollars

Le code de la grosse attaque par rançongiciel contre Kaseya a été mis au point pour éviter les ordinateurs qui utilisent la langue russe, selon de récents retours de firmes spécialistes en sécurité

[Arya Nawel]

En bref : nous ne savons pas, nous ne savons pas, nous ne savons pas. Comme pour beaucoup d'autres choses dans le monde de la cybercriminalité, il n'y a tout simplement pas assez d'informations disponibles publiquement pour comprendre pourquoi cet événement s'est produit. Cependant, si REvil a été piraté par une entité chargée de l'application de la loi, quelque chose me dit que nous aurons une mise à jour de la situation assez rapidement.

[ormond94470]

Ils ont pris l'argent et disparaissent, on les retrouvera peut être sous un autre nom, entre le challenge et l'argent facile c'est dur de décrocher.

[Arya Nawel]

Étant donné que cela s'est avéré très lucratif, ils auraient pu simplement se retirer complètement. Les hauts responsables ont probablement assez d'argent à ce stade pour ne pas avoir besoin de continuer ou de travailler en général, ou au moins pour être en mesure de se tourner vers des "affaires légitimes".

[Stéphane le calme]

Une opération entre États Unis, le secteur privé et plusieurs autres pays a permis de pirater les infrastructures de REvil,
et de déconnecter les sites gérés par les opérateurs du ransomware

Le groupe de ransomware REvil a lui-même été piraté et mis hors ligne de force cette semaine suite à une opération qui a impliqué plusieurs pays, selon trois cyber-experts du secteur privé travaillant avec les États-Unis et un ancien responsable.

En juillet, les sites Web gérés par le gang de ransomware REvil sont soudainement devenus inaccessibles, suscitant de nombreuses spéculations sur le fait que le groupe avait été mis hors ligne. Ce réseau de cybercriminels lié à la Russie a perçu des dizaines de millions de dollars en rançons en échange de la restauration de systèmes informatiques qu'il a piratés.

Les raisons de la disparition de REvil n'ont pas été immédiatement élucidées, mais elle fait suite à une série de piratages très médiatisés par le groupe qui a pris le contrôle d'ordinateurs dans le monde entier. Une disparition qui a eu lieu après que le président Joe Biden a déclaré avoir averti son homologue russe Vladimir Poutine que des conséquences seraient à craindre si Moscou ne faisait pas face aux attaques de ransomware émanant de ses frontières. L'administration Biden considère de plus en plus les ransomwares comme une menace pour la sécurité nationale et économique, soulignant leur capacité à perturber les infrastructures critiques dont dépendent les Américains.

Au cours du week-end du 4 juillet, les experts en cybersécurité ont déclaré que REvil était responsable d'une attaque contre Kaseya, une société de logiciels informatiques qui soutient indirectement d'innombrables petites entreprises, notamment des cabinets comptables, des restaurants et des cabinets dentaires. REvil a revendiqué l'attaque, exigeant une rançon de 70 millions de dollars pour libérer les machines touchées. Des responsables américains ont également déclaré que REvil était à l'origine de l'attaque contre JBS, l'une des plus grandes entreprises d'emballage de viande au monde. REvil a obtenu 11 millions de dollars de la part des victimes dans le cadre de ses activités, selon le site de suivi des paiements en cryptomonnaies Ransomwhere.

Colonial Pipeline a versé à ces cybercriminels près de 5 millions de dollars en bitcoins suite à une attaque qui les a forcé à fermer ses systèmes de manière proactive, conduisant les automobilistes de certains États américains à se ruer sur les stations-service. La situation avec Colonial Pipeline était d’autant plus compliquée que Colonial Pipeline elle-même est responsable de la fermeture de son réseau de transport. Selon Joseph Blount, le PDG de la société, les systèmes opérationnels de la société n'ont pas été directement touchés, mais elle a mis hors service l'infrastructure énergétique critique afin de pouvoir déterminer jusqu'où les pirates ont pu pénétrer dans son système.

Intervient alors une coalition internationale

Après avoir été un moment en inactivité, les sites web de REvil ont repris du service. Les opérations avaient été relancées en septembre dernier en utilisant des sauvegardes de l’infrastructure du groupe. « Le site de paiement/négociation de Tor et le site de fuite de données Tor 'Happy Blog' de Revil sont soudainement revenus en ligne », notaient des observateurs le 7 septembre. « Contrairement au site de fuite de données, qui est fonctionnel, le site de négociation Tor ne semble pas encore pleinement opérationnel ». Un autre site, lié au déchiffrement de fichiers de Revil, était quant à lui toujours hors ligne.

Pourtant, dimanche, le site Web « Happy Blog » du groupe criminel, qui avait été utilisé pour divulguer des données sur les victimes et extorquer des entreprises, n'était plus disponible. Si les rumeurs et les spéculations ont alimenté les conversations à ce propos, la réponse à cette « énigme » se trouve dans une opération d'infiltration dans leurs infrastructures menée par les Etats-Unis en lien avec d'autres pays qui a permis de débrancher les activités du gang derrière le ransomware Revil.

Le responsable de la stratégie de cybersécurité de VMWare, Tom Kellermann, a déclaré que les forces de l'ordre et les services de renseignement avaient empêché le groupe de victimiser d'autres entreprises : « Le FBI, en collaboration avec le Cyber ​​Command, les services secrets et des pays aux vues similaires, se sont véritablement engagés dans des actions perturbatrices importantes contre ces groupes », a déclaré Kellermann, conseiller des services secrets américains sur les enquêtes sur la cybercriminalité. « REvil était en tête de liste. »

"0_neday", un opérateur connu de REvil qui avait aidé à redémarrer les opérations du groupe après un arrêt antérieur, a déclaré que les serveurs de REvil avaient été piratés par une partie anonyme : « Le serveur a été compromis et ils me cherchaient », a écrit 0_neday sur un forum sur la cybercriminalité le week-end, affirmant que quelqu'un a pris le contrôle du portail de paiement Tor et du site Web de diffusion de données volées.

Dans les messages, 0_neday explique que lui et "Unknown", porte-parole principal du groupe, étaient les deux seuls membres du groupe à posséder les clés du domaine de REvil. "Unknown" a disparu en juillet, laissant les autres membres du groupe supposer qu'il était mort.

Le groupe a repris ses activités en septembre, mais ce week-end, 0_neday a écrit que quelqu'un avait eu accès au domaine REvil en utilisant les clés d'"Unknown". « Bonne chance à tous; Je pars », a-t-il déclaré.

« On savait que les membres du groupe central derrière REvil étaient presque certainement compromis. En remettant en ligne les services cachés de Tor, quelqu'un a démontré qu'il avait les clés privées nécessaires pour le faire. C'était effectivement la fin de REvil, qui avait déjà du mal à attirer des affiliés après que son infrastructure ait été mise hors ligne en juillet à la suite de l'attaque Kaseya », a déclaré Williams.

Williams a remarqué qu'il semble probable qu'au moins certaines arrestations aient été impliquées.

« Le lancement du service caché indique que quelqu'un d'autre possède les clés privées. Bien que les clés aient pu être acquises uniquement par piratage, il est difficile d'imaginer que ce soit le cas étant donné la disparition d'Unknown. La conclusion évidente est qu’il est probable qu'Unknown (ou un proche complice) ait été arrêté », a déclaré Williams.

Clé de déchiffrement

Suite à l'attaque de Kaseya, le FBI a obtenu une clé de déchiffrement universelle qui permettait aux personnes infectées via Kaseya de récupérer leurs fichiers sans payer de rançon.

Mais les responsables des forces de l'ordre ont choisi de ne pas utiliser la clé pendant des semaines tandis qu'il poursuivait discrètement le personnel de REvil, a reconnu plus tard le FBI devant le Congrès.

Selon trois personnes proches du dossier, des cyberspécialistes des forces de l'ordre et du renseignement ont pu pirater l'infrastructure du réseau informatique de REvil, obtenant ainsi le contrôle d'au moins certains de leurs serveurs.

Après la mise hors ligne des sites Web que le groupe de pirates informatiques utilisait pour faire des affaires en juillet, le principal porte-parole du groupe, qui se fait appeler "Unknown", a disparu d'Internet. Lorsque le membre du gang 0_neday et d'autres ont restauré ces sites Web à partir d'une sauvegarde le mois dernier, ils l'ont fait sans savoir que certains systèmes internes étaient déjà contrôlés par les forces de l'ordre.

« Le gang de ransomware REvil a restauré l'infrastructure à partir des sauvegardes en supposant qu'elles n'avaient pas été compromises », a déclaré Oleg Skulkin, directeur adjoint du laboratoire forensics de la société de sécurité dirigée par la Russie Group-IB. « Ironiquement, la tactique préférée du gang consistant à compromettre les sauvegardes s'est retournée contre eux ».

Les sauvegardes fiables sont l'une des défenses les plus importantes contre les attaques de ransomware, mais elles doivent être maintenues déconnectées des réseaux principaux ou elles peuvent également être chiffrées par des extorqueurs tels que REvil.

« D'une manière générale, nous entreprenons un effort gouvernemental de ransomware, y compris la perturbation de l'infrastructure et des acteurs des ransomwares, en travaillant avec le secteur privé pour moderniser nos défenses et en créant une coalition internationale pour tenir les pays qui hébergent les acteurs des rançons responsables », a déclaré un porte-parole du Conseil de sécurité nationale de la Maison Blanche.

Une personne familière avec les événements a déclaré qu'un partenaire étranger du gouvernement américain avait mené l'opération de piratage qui a pénétré l'architecture informatique de REvil. Un ancien responsable américain, qui a requis l'anonymat, a déclaré que l'opération était toujours active.

Pour des personnes comme le procureur adjoint des États-Unis Lisa Monaco, les attaques de ransomware contre les infrastructures critiques doivent être traitées comme un problème de sécurité nationale semblable au terrorisme. Aussi, en juin, le procureur général adjoint John Carlin a déclaré que le ministère de la Justice élevait les enquêtes sur les attaques de ransomware à une priorité similaire.

De telles actions ont donné au ministère de la Justice et à d'autres agences une base légale pour obtenir l'aide des agences de renseignement américaines et du ministère de la Défense, a reconnu Kellermann.

« Avant, vous ne pouviez pas pirater ces forums, et les militaires ne voulaient rien avoir à faire avec ça. Depuis, ils ne prennent plus de gants ».

Et vous ?

L'arroseur arrosé ?
Pensez-vous comme Lisa Monaco que les attaques de ransomware contre les infrastructures critiques doivent être traitées comme un problème de sécurité nationale semblable au terrorisme ? Dans quelle mesure ?
Quelle lecture faites-vous de cette coopération qui a impliqué le secteur privé mais aussi les forces de l'ordre de plusieurs pays ?

[marsupial]

L'opération reste en cours pour bloquer les éventuelles résurgences et arrêter les coupables. Les militaires s'en mèlent car leur mission est de défendre leur pays.
Je n'en dis pas plus. Je ne répondrais à aucune question sur le sujet
Je sais pourquoi comment et avec qui et quoi.
Bravo à eux. Mais ce n'est que le début.

Edit : ma seule crainte est qu'un gouvernement autoritaire tombe sur les techniques employés.

[Jules34]

L'opération reste en cours pour bloquer les éventuelles résurgences et arrêter les coupables. Les militaires s'en mèlent car leur mission est de défendre leur pays.
Je n'en dis pas plus. Je ne répondrais à aucune question sur le sujet
Je sais pourquoi comment et avec qui et quoi.
Bravo à eux. Mais ce n'est que le début.

Edit : ma seule crainte est qu'un gouvernement autoritaire tombe sur les techniques employés.

Oui oui.

Sacré histoire en tout cas !

[marsupial]

Disons que le point de départ est un petit soft offert et modifié par une bonne personne avec un peu d'aide.

[Stéphane le calme]

Le FBI a retenu une clé de déchiffrement de ransomware pendant 19 jours,
pour lancer une opération ciblant les cybercriminels derrière REvil

Suite à l'attaque de Kaseya, le FBI a obtenu une clé de déchiffrement universelle qui permettait aux personnes infectées via Kaseya de récupérer leurs fichiers sans payer de rançon. Mais les responsables des forces de l'ordre ont choisi de ne pas utiliser la clé pendant des semaines tandis qu'il poursuivait discrètement le personnel de REvil, a reconnu plus tard le FBI devant le Congrès. Selon trois personnes proches du dossier, des cyberspécialistes des forces de l'ordre et du renseignement ont pu pirater l'infrastructure du réseau informatique de REvil, obtenant ainsi le contrôle d'au moins certains de leurs serveurs.

Au cours du week-end du 4 juillet, les experts en cybersécurité ont déclaré que REvil était responsable d'une attaque contre Kaseya, une société de logiciels informatiques qui soutient indirectement d'innombrables petites entreprises, notamment des cabinets comptables, des restaurants et des cabinets dentaires. REvil a revendiqué l'attaque, exigeant une rançon de 70 millions de dollars pour libérer les machines touchées. Des responsables américains ont également déclaré que REvil était à l'origine de l'attaque contre JBS, l'une des plus grandes entreprises d'emballage de viande au monde. REvil a obtenu 11 millions de dollars de la part des victimes dans le cadre de ses activités, selon le site de suivi des paiements en cryptomonnaies Ransomwhere.

Colonial Pipeline a versé à ces cybercriminels près de 5 millions de dollars en bitcoins suite à une attaque qui les a forcé à fermer ses systèmes de manière proactive, conduisant les automobilistes de certains États américains à se ruer sur les stations-service. La situation avec Colonial Pipeline était d’autant plus compliquée que Colonial Pipeline elle-même est responsable de la fermeture de son réseau de transport. Selon Joseph Blount, le PDG de la société, les systèmes opérationnels de la société n'ont pas été directement touchés, mais elle a mis hors service l'infrastructure énergétique critique afin de pouvoir déterminer jusqu'où les pirates ont pu pénétrer dans son système.

Après avoir été un moment en inactivité, les sites web de REvil ont repris du service. Les opérations avaient été relancées en septembre dernier en utilisant des sauvegardes de l’infrastructure du groupe. « Le site de paiement/négociation de Tor et le site de fuite de données Tor 'Happy Blog' de Revil sont soudainement revenus en ligne », notaient des observateurs le 7 septembre. « Contrairement au site de fuite de données, qui est fonctionnel, le site de négociation Tor ne semble pas encore pleinement opérationnel ». Un autre site, lié au déchiffrement de fichiers de Revil, était quant à lui toujours hors ligne.

Il y a quelques jours, le site Web « Happy Blog » du groupe criminel, qui avait été utilisé pour divulguer des données sur les victimes et extorquer des entreprises, n'était plus disponible. Si les rumeurs et les spéculations ont alimenté les conversations à ce propos, la réponse à cette « énigme » se trouve dans une opération d'infiltration dans leurs infrastructures menée par les Etats-Unis en lien avec d'autres pays qui a permis de débrancher les activités du gang derrière le ransomware Revil.

Le FBI disposait de clé de déchiffrement mais a choisi de ne pas les communiquer

Le FBI s'est abstenu pendant près de trois semaines d'aider à déverrouiller les ordinateurs de centaines d'entreprises et d'institutions entravées par une attaque de ransomware majeure cet été, même si le bureau avait secrètement obtenu la clé numérique nécessaire pour le faire.

La clé de déchiffrement universelle, qui permettait aux personnes infectées via Kaseya de récupérer leurs fichiers, a été obtenue en accédant aux serveurs de REvil. Son déploiement immédiat aurait pu aider les victimes, y compris les écoles et les hôpitaux, à éviter ce que les analystes estiment à des millions de dollars en coûts de récupération.

Mais le FBI a choisi de conserver la clé, avec l'accord d'autres agences, en partie parce qu'il prévoyait de mener une opération pour perturber les opérations des pirates. L'objectif était donc de ne pas laisser les cybercriminels se douter de quoique ce soit. L'opération n'a pas eu lieu immédiatement, étant donné que le même mois, les sites Web gérés par le gang de ransomware REvil sont soudainement devenus inaccessibles. Une disparition qui a eu lieu après que le président Joe Biden a déclaré avoir averti son homologue russe Vladimir Poutine que des conséquences seraient à craindre si Moscou ne faisait pas face aux attaques de ransomware émanant de ses frontières. L'administration Biden considère de plus en plus les ransomwares comme une menace pour la sécurité nationale et économique, soulignant leur capacité à perturber les infrastructures critiques dont dépendent les Américains.

L'épisode non signalé précédemment met en évidence les compromis auxquels sont confrontés les responsables des forces de l'ordre qui doivent parfois choisir entre retenir des informations pour mener à bien leurs opérations (dans le cas d'espèce il s'agit d'endommager les réseaux cybercriminels) et aider rapidement les victimes de ransomwares.

« Les questions que nous posons à chaque fois sont : quelle serait la valeur d'une clé si elle était divulguée ? Combien y a-t-il de victimes ? Qui pourrait être aidé ? » a déclaré une personne proche du dossier, qui, comme d'autres, s'est exprimée sous couvert d'anonymat pour discuter d'un sujet sensible. « Et d'un autre côté, quelle serait la valeur d'une opération potentielle à plus long terme pour perturber un écosystème ? Ce sont les questions pour lesquelles nous continuerons de devoir trouver un équilibre. »

Le FBI a finalement partagé la clé avec Kaseya, la société informatique dont le logiciel a été infecté par des logiciels malveillants, le 21 juillet (soit 19 jours après l'attaque). Kaseya a demandé à la société de sécurité néo-zélandaise Emsisoft de créer un nouvel outil de déchiffrement que Kaseya a publié le lendemain.

À ce moment-là, il était trop tard pour certaines victimes.

« La clé de déchiffrement aurait été utile trois semaines avant de l'avoir, mais nous avions déjà commencé une restauration complète des systèmes de nos clients », a indiqué Joshua Justice, propriétaire de la société informatique du Maryland JustTech, qui comptait environ 120 clients touchés par l'attaque.

Justice, dont la société JustTech est l'un des clients MSP de Kaseya, a passé plus d'un mois à restaurer les systèmes de ses clients. « J'avais des gens qui me criaient dessus en personne et au téléphone pour me demander si leur activité allait reprendre », a-t-il déclaré. « Un homme m'a dit : "Dois-je simplement prendre ma retraite ? Dois-je laisser partir mes employés ?"  »

Sans la clé pour restaurer les données chiffrées dans un état lisible, les victimes ont été obligées d'essayer de récupérer des copies de sauvegarde des données ou de remplacer leurs systèmes, des processus à la fois coûteux et longs.

Justice avait des équipes de sécurité travaillant par équipes de 18 heures pour remettre en service les systèmes de l'entreprise et de ses clients. C'était, dit Justice, « un mois d'enfer ». Aucun des clients de JustTech n'a payé de rançon car le fournisseur informatique a pu restaurer les systèmes à partir des sauvegardes qu'il détenait séparément, a déclaré Justice. D'autres entreprises, inquiètes de l'impact sur leurs activités, ont payé une rançon bien avant que la clé de déchiffrement ne soit disponible.

Devant le Congrès, le directeur du FBI, Christopher A. Wray, a indiqué que le retard résultait en partie du travail conjoint avec les alliés et d'autres agences : « Nous prenons les décisions en groupe, pas unilatéralement », a-t-il déclaré, notant qu'il devait restreindre ses propos car l'enquête était en cours à ce moment là. « Ce sont des décisions complexes, conçues pour créer un impact maximal, et cela prend du temps pour affronter des adversaires, temps pendant lequel nous devons mobiliser des ressources non seulement dans le pays mais partout dans le monde ».

Il a également suggéré que « tester et valider » la clé de déchiffrement a contribué au retard. « Il faut beaucoup d'ingénierie pour développer un outil » qui peut être utilisé par les victimes, a-t-il déclaré lors d'une audience du Comité sénatorial de la sécurité intérieure.

Emsisoft, cependant, a pu agir rapidement. Il a extrait la clé de ce que le FBI a fourni à Kaseya, a créé un nouveau déchiffreur et l'a testé, le tout en 10 minutes, selon Fabian Wosar, directeur de la technologie d'Emsisoft. Le processus a été rapide car la société connaissait le ransomware de REvil. « Si nous devions partir de zéro », a déclaré Wosar, « cela aurait pris environ quatre heures. »

L'impact sur différents clients

Lors de cette attaque de juillet, REvil a piraté le logiciel fourni par Kaseya, une société informatique basée à Miami, et 54 des clients de Kaseya ont été infectés. De nombreuses victimes étaient des « fournisseurs de services gérés » qui fournissent des logiciels informatiques aux clients pour améliorer l'efficacité du réseau. Des centaines de clients des fournisseurs de services gérés, qui utilisaient le logiciel Kaseya, ont été à leur tour victimes. Kaseya a estimé qu'entre 800 et 1 500 entreprises au total étaient infectées.

La chaîne d'épicerie suédoise Coop a déclaré qu'elle ne savait pas encore combien cela coûterait de fermer temporairement ses magasins. « Nous avons dû fermer environ 700 de nos magasins, et il a fallu six jours pour qu'ils rouvrent tous », a déclaré la porte-parole Helena Esscher. « L'impact financier dépend de plusieurs facteurs, comme la perte de ventes, bien sûr, mais aussi les assurances et dans quelle mesure elles couvrent des événements comme celui qui s'est produit ».

Deux analystes qui étudient les chaînes d'épicerie ont déclaré que la fermeture de Coop aurait pu coûter à l'entreprise des millions de dollars en pertes d'affaires.

REvil avait exigé des rançons allant de 45 000 $ à 5 millions de dollars par appareil infecté, selon la taille de l'entreprise. À un moment donné, il a exigé que Kaseya paie 70 millions de dollars pour une clé de déchiffrement universelle, une clé qui fonctionnerait sur tous les réseaux concernés.

Certaines entreprises d'intervention en cas d'incident facturent de 400 à 500 dollars de l'heure pour enquêter sur l'attaque, notamment pour savoir comment l'intrus est entré, expulser l'attaquant et contenir les dégâts. Ensuite, il y a les coûts de restauration des systèmes à l'aide de données sauvegardées et de renforcement de la résilience pour éviter une attaque répétée. Les frais juridiques et comptables doivent également être pris en compte.

Et vous ?

Le FBI a-t-il, selon vous, pris une bonne décision en choisissant de ne pas communiquer directement la clé de déchiffrement (au motif de la poursuite de l'enquête, du besoin d'avoir l'aval des autres organismes sur l'affaire, etc.) ? Dans quelle mesure ?

[Jules34]

Disons que le point de départ est un petit soft offert et modifié par une bonne personne avec un peu d'aide.

En tout cas l'histoire commence à être digne d'un film !

Et on insistera jamais assez sur la nécessitée d'avoir des backs up bien sécurisés ! Enfin à ce niveau la je sais même pas ce qu'il faut faire...

[marsupial]

Personnellement ce n'est qu'un avis mais c'est bien joué. Un travail d'équipe empéchant la récidive. Une victoire où il en reste beaucoup à faire.
Edit : admettons que le FBI n'ait pas eu la clé de déchiffrement, comment kaseya et ses clients auraient ils procédé ?

[Demky]

obtenant ainsi le contrôle d'au moins certains de leurs serveurs

ah ouai, au moins certains, pas mal.

[Nancy Rey]

Démantèlement de REvil : de nouveaux suspects du groupe de ransomware arrêtés en Pologne et Roumanie,
le gang est visé par une série d’opérations chapeautées par Europol, Eurojust et le DOJ

L’étau des autorités se resserre autour du gang de cybercriminels Revil, en effet plusieurs personnes soupçonnées d’être des pirates gravitant autour de REvil ont été arrêtées ces derniers mois. Eurojust et Europol, les agences européennes de coopération judiciaire et de police criminelle, révèlent ce 8 novembre 2021 qu’une opération internationale impliquant la France a permis quatre interventions en Roumanie et l’interpellation de deux suspects. Les Etats-Unis ont également annoncé, l’arrestation, en Pologne, d’un Ukrainien de 22 ans, Yaroslav Vasinsky. Les autorités américaines l’accusent notamment d’être l’« affilié » de REvil responsable de l’attaque contre Kaseya, en juillet. Le DOJ dit avoir saisi 6 millions de dollars d'une bourse de cryptomonnaies ( l’équivalent de plus de 5 millions d’euros) qui seraient liée au groupe.

L’opération en Roumanie

À la suite d’une enquête commune entre l’Allemagne, la France et la Roumanie, Europol a annoncé l’arrestation, en Roumanie, de deux personnes soupçonnées d’être des affiliés de Revil. Elles ont été appréhendées ce jeudi 4 novembre dans la ville côtière de Constanta et placées en détention provisoire par la police roumaine. Des enquêteurs français étaient présents sur le terrain. Ces deux personnes sont soupçonnées d’avoir attaqué cinq mille victimes et extorqué un demi-million de dollars (environ 430 000 euros).

Une arrestation supplémentaire en Pologne

Le ministère de la Justice americaine a annoncé l'arrestation et l'inculpation d'un membre présumé du groupe de pirates REvil, lié à des attaques par ransomware contre la société informatique Kaseya. Selon le DOJ, Yaroslav Vasinskyi, de nationalité ukrainienne, risque d'être extradé vers les États-Unis après avoir été arrêté par les autorités polonaises en octobre et inculpé par les États-Unis pour cybercriminalité en août, comme l'a révélé un document judiciaire. Cette arrestation, ainsi que la saisie par le gouvernement d'actifs liés aux opérations de REvil, constituent une nouvelle étape dans la lutte contre les ransomwares, qui constituent un problème croissant pour les entreprises.

Le DOJ indique également avoir saisi 6,1 millions de dollars d'actifs de la bourse de cryptomonnaies, prétendument liés au ransomware REvil. L'argent appartenait au ressortissant russe Yevgeniy Polyanin, qui a également été inculpé pour avoir prétendument travaillé avec REvil pour attaquer des cibles corporatives et gouvernementales. Polyanin a également été inculpé en août.

Les deux actes d'accusation détaillent le processus présumé de REvil consistant à s'introduire dans des réseaux informatiques, à en prendre le contrôle, puis à voler les données des entreprises, en bloquant les propriétaires légitimes en chiffrant les données et en supprimant les sauvegardes. Les entreprises pourraient toutefois retrouver l'accès aux données si elles payaient une rançon ; sinon, leurs données pourraient être vendues ou publiées sur le web. C'est ce qui est arrivé à Quanta, fournisseur d'Apple, dont les documents détaillant les nouveaux MacBooks d'Apple ont été publiés sur le blog de REvil bien avant la diffusion de toute information officielle.

Les actes d'accusation ne disent pas explicitement quels rôles Vasinskyi et Polyanin auraient joué dans les attaques, les accusant seulement d'avoir été impliqués et d'avoir travaillé avec d'autres membres de l'équipe pour mener à bien les attaques. Selon le ministère de la justice, Vasinskyi et Polyanin risquent chacun plus de 100 ans de prison s'ils sont reconnus coupables de tous les chefs d'accusation retenus contre eux. Le gouvernement américain est également prêt à dépenser beaucoup pour attraper d'autres membres présumés : il offre une récompense pouvant aller jusqu'à 10 millions de dollars pour toute information menant à l'arrestation des dirigeants de REvil et jusqu'à 5 millions de dollars pour toute information concernant des personnes essayant de travailler pour le groupe.

Les États-Unis offrent une récompense de 10 millions de dollars pour les responsables du ransomware REvil

Les États-Unis offrent jusqu'à 10 millions de dollars pour l'identification ou la localisation des responsables de l'opération de ransomware REvil (Sodinokibi), dont 5 millions de dollars menant à l'arrestation des affiliés. Cette prime est offerte dans le cadre du programme TOCRP (Transnational Organized Crime Rewards Program) du Département d'État, qui récompense les informateurs pour des informations permettant l'arrestation ou la condamnation d'individus appartenant à des groupes criminels organisés transnationaux. À l'instar de la récompense offerte pour des informations sur les membres du ransomware DarkSide, le montant récompensé pour des informations dépend du rôle de la personne dans l'opération Revil/Sodinokibi.

« Le Département d'État offre une récompense pouvant aller jusqu'à 10 millions $ pour toute information menant à l'identification ou à la localisation de tout individu occupant une position de leadership clé dans le groupe criminel organisé international de la variante du ransomware Sodinokibi… En outre, le Département offre une récompense pouvant aller jusqu'à 5 000 000 $ pour toute information menant à l'arrestation et/ou à la condamnation, dans n'importe quel pays, de tout individu conspirant pour participer ou tentant de participer à un incident de ransomware de la variante Sodinokibi », a annoncé hier le Département d'État americain.

Le gang de ransomware REvil est responsable de nombreuses attaques très médiatisées contre Kaseya, JBS, Coop, Travelex, GSMLaw, Kenneth Cole et Grupo Fleury. Lorsque les gangs de ransomware tentent d'échapper aux forces de l'ordre, ils changent souvent de marque et adoptent un nouveau nom. Par exemple, l'opération GandCrab s'est rebaptisée REvil en 2019 après avoir commencé à recevoir trop d'attention de la part des médias et des forces de l'ordre. De même, d'autres opérations de ransomware ont également changé de marque par le passé, notamment :

• DarkSide à BlackMatter
• Maze pour Egregor
• Bitpaymer à DoppelPaymer à Grief
• Nemty à Nefilim à Karma

Comme l'annonce du ministère de la Déclaration indique "ransomware variante Sodinokibi", cette récompense s'appliquera également aux nouveaux ransomwares créés par le gang REvil à l'avenir.

Les attaques par ransomware ayant touché des cibles importantes aux États-Unis ces dernières années, le gouvernement américain s'y intéresse de plus en plus. Le président Joe Biden a déclaré dans un communiqué que le gouvernement utilisait « toutes ses forces » pour « perturber les cyberactivités et les acteurs malveillants » et que les arrestations et les saisies financières s'inscrivaient dans le cadre de ses efforts pour « tenir pour responsables ceux qui menacent notre sécurité ». Le procureur américain par intérim, Chad E. Meacham, a déclaré que le ministère de la justice « s'enfoncera dans les coins les plus sombres de l'internet et les endroits les plus reculés du globe pour traquer les cybercriminels ».

Et pour perturber davantage les opérations financières des groupes de ransomware, les États-Unis ont également annoncé des sanctions contre la bourse de cryptomonnaies Chatex pour avoir aidé les gangs de ransomware à blanchir et à encaisser les paiements de rançon.

Sources : EUROPOL, DOJ, Département d'État des États-Unis, Département du Trésor des États-Unis

Et vous ?

Quel est votre avis sur le sujet ?

Voir aussi :

Le gang des ransomwares REvil disparaît du Web après l'avertissement de Joe Biden, ses sites Web ont été mis hors ligne mardi matin et personne ne sait exactement pourquoi

Le FBI a retenu une clé de déchiffrement de ransomware pendant 19 jours, pour lancer une opération ciblant les cybercriminels derrière REvil

Le gang REvil est à l'origine de l'attaque au rançongiciel contre le fournisseur de viande JBS, ces pirates utilisent des tactiques de haute pression pour extorquer leurs victimes