Cyberattaque VSA : Kaseya confirme avoir obtenu une clé de décryptage sans payer de rançon

Cybersécurité Logiciels & Applications Informatique mis à jour le 27 juillet 2021 à 16H51

A la suite à la cyberattaque qui a touché son logiciel VSA, l'entreprise Kaseya a annoncé la mise à disposition d'une clé de décryptage pour les très nombreuses victimes. Une rançon de 70 millions de dollars avait été initialement demandée par le groupe de hackers REvil qui a revendiqué l'attaque. Après avoir gardé le silence durant plusieurs jours sur l'origine de la clé de décryptage, Kaseya a finalement publié une note confirmant qu'elle n'avait pas payé les hackers.

Cyberattaque VSA : Kaseya confirme avoir obtenu une clé de décryptage sans payer de rançon © Antonia Machayekhi

Mise à jour (27/07/2021): Alors que les spéculations vont bon train depuis plusieurs jours, Kaseya a publié, ce lundi 26 juillet, une note sur son site  confirmant qu'elle avait bien obtenu la clé de décryptage sans payer de rançon. "Des rapports récents ont suggéré que notre silence continu sur le paiement de la rançon par Kaseya pourrait encourager de nouvelles attaques de ransomware", a indiqué la société.

La société s'est également targuée d'avoir reçu les premiers résultats de décryptage et que "l'outil s'est avéré efficace à 100% pour décrypter les fichiers qui ont été entièrement cryptés lors de l'attaque." Selon CNN, afin d'obtenir les clés de décryptage la société a demandé à ses clients de signer un accord de non-divulgation.

Après avoir vu son logiciel VSA pris pour cible lors d'une cyberattaque révélée le 2 juillet dernier, l'entreprise Kaseya a annoncé la mise à disposition d'une clé de décryptage pour les victimes. L'annonce a été faite ce 22 juillet sur le site web de l'entreprise et est le résultat d'une collaboration avec la société néo-zélandaise Emsisoft, indique-t-elle.

Récupérer les données chiffrées
Cette clé devrait permettre aux 1500 victimes, des organisations publiques comme des entreprises, de récupérer les données chiffrées par les hackers. Cette attaque a entre autres contraint des centaines de supermarchés Coop en Suède et des écoles en Nouvelle-Zélande à la fermeture. Utilisé par plus de 40 000 clients dans le monde, le logiciel permet aux entreprises d'envoyer des mises à jour aux réseaux informatiques. 

Connu pour avoir attaqué par le passé Apple, Acer ainsi que le géant mondial de la viande JBS, le groupe connu sous le nom de REvil a par la suite demandé une rançon de 70 millions de dollars à Kaseya en échange d'une clé de décryptage. Une procédure totalement classique lors des attaques par ransomwares. 

REvil disparaît des radars
Or, Kaseya explique dans son communiqué avoir obtenu une clé "d'une tierce partie". Interrogée par BleepingComputer quant à la rançon de 70 millions de dollars, l'entreprise américaine a répondu qu'elle "ne peut ni confirmer ni infirmer" le paiement de celle-ci. Une information très difficile à vérifier puisque REvil a disparu des radars depuis plusieurs semaines sans raison officielle. 

Est-ce le fruit d'une action étatique ? C'est l'une des pistes puisque le président des Etats-Unis Joe Biden, inquiet de devoir faire face aux répercussions de cet incident de sécurité, avait demandé à son homologue russe Vladmir Poutine de prendre des mesures contre les cybercriminels situés dans son pays. 

Le président américain a également ordonné aux agences de renseignements américaines d'enquêter, indiquant que "les États-Unis prendront toutes les mesures nécessaires pour défendre leur population et leurs infrastructures essentielles face à ce défi permanent", que représentent les cyberattaques. Le FBI de son côté a refusé de commenter quant à sa possible implication dans l'issue de cette histoire.