Suite à l'attaque de Kaseya, le FBI a obtenu une clé de déchiffrement universelle qui permettait aux personnes infectées via Kaseya de récupérer leurs fichiers sans payer de rançon. Mais les responsables des forces de l'ordre ont choisi de ne pas utiliser la clé pendant des semaines tandis qu'il poursuivait discrètement le personnel de REvil, a reconnu plus tard le FBI devant le Congrès. Selon trois personnes proches du dossier, des cyberspécialistes des forces de l'ordre et du renseignement ont pu pirater l'infrastructure du réseau informatique de REvil, obtenant ainsi le contrôle d'au moins certains de leurs serveurs.Au cours du week-end du 4 juillet, les experts en cybersécurité ont déclaré que REvil était responsable d'une attaque contre Kaseya, une société de logiciels informatiques qui soutient indirectement d'innombrables petites entreprises, notamment des cabinets comptables, des restaurants et des cabinets dentaires. REvil a revendiqué l'attaque, exigeant une rançon de 70 millions de dollars pour libérer les machines touchées. Des responsables américains ont également déclaré que REvil était à l'origine de l'attaque contre JBS, l'une des plus grandes entreprises d'emballage de viande au monde. REvil a obtenu 11 millions de dollars de la part des victimes dans le cadre de ses activités, selon le site de suivi des paiements en cryptomonnaies Ransomwhere.
Colonial Pipeline a versé à ces cybercriminels près de 5 millions de dollars en bitcoins suite à une attaque qui les a forcé à fermer ses systèmes de manière proactive, conduisant les automobilistes de certains États américains à se ruer sur les stations-service. La situation avec Colonial Pipeline était d’autant plus compliquée que Colonial Pipeline elle-même est responsable de la fermeture de son réseau de transport. Selon Joseph Blount, le PDG de la société, les systèmes opérationnels de la société n'ont pas été directement touchés, mais elle a mis hors service l'infrastructure énergétique critique afin de pouvoir déterminer jusqu'où les pirates ont pu pénétrer dans son système.
Après avoir été un moment en inactivité, les sites web de REvil ont repris du service. Les opérations avaient été relancées en septembre dernier en utilisant des sauvegardes de l’infrastructure du groupe. « Le site de paiement/négociation de Tor et le site de fuite de données Tor 'Happy Blog' de Revil sont soudainement revenus en ligne », notaient des observateurs le 7 septembre. « Contrairement au site de fuite de données, qui est fonctionnel, le site de négociation Tor ne semble pas encore pleinement opérationnel ». Un autre site, lié au déchiffrement de fichiers de Revil, était quant à lui toujours hors ligne.
Il y a quelques jours, le site Web « Happy Blog » du groupe criminel, qui avait été utilisé pour divulguer des données sur les victimes et extorquer des entreprises, n'était plus disponible. Si les rumeurs et les spéculations ont alimenté les conversations à ce propos, la réponse à cette « énigme » se trouve dans une opération d'infiltration dans leurs infrastructures menée par les Etats-Unis en lien avec d'autres pays qui a permis de débrancher les activités du gang derrière le ransomware Revil.
Le FBI disposait de clé de déchiffrement mais a choisi de ne pas les communiquer
Le FBI s'est abstenu pendant près de trois semaines d'aider à déverrouiller les ordinateurs de centaines d'entreprises et d'institutions entravées par une attaque de ransomware majeure cet été, même si le bureau avait secrètement obtenu la clé numérique nécessaire pour le faire.
La clé de déchiffrement universelle, qui permettait aux personnes infectées via Kaseya de récupérer leurs fichiers, a été obtenue en accédant aux serveurs de REvil. Son déploiement immédiat aurait pu aider les victimes, y compris les écoles et les hôpitaux, à éviter ce que les analystes estiment à des millions de dollars en coûts de récupération.
Mais le FBI a choisi de conserver la clé, avec l'accord d'autres agences, en partie parce qu'il prévoyait de mener une opération pour perturber les opérations des pirates. L'objectif était donc de ne pas laisser les cybercriminels se douter de quoique ce soit. L'opération n'a pas eu lieu immédiatement, étant donné que le même mois, les sites Web gérés par le gang de ransomware REvil sont soudainement devenus inaccessibles. Une disparition qui a eu lieu après que le président Joe Biden a déclaré avoir averti son homologue russe Vladimir Poutine que des conséquences seraient à craindre si Moscou ne faisait pas face aux attaques de ransomware émanant de ses frontières. L'administration Biden considère de plus en plus les ransomwares comme une menace pour la sécurité nationale et économique, soulignant leur capacité à perturber les infrastructures critiques dont dépendent les Américains.
L'épisode non signalé précédemment met en évidence les compromis auxquels sont confrontés les responsables des forces de l'ordre qui doivent parfois choisir entre retenir des informations pour mener à bien leurs opérations (dans le cas d'espèce il s'agit d'endommager les réseaux cybercriminels) et aider rapidement les victimes de ransomwares.
« Les questions que nous posons à chaque fois sont : quelle serait la valeur d'une clé si elle était divulguée ? Combien y a-t-il de victimes ? Qui pourrait être aidé ? » a déclaré une personne proche du dossier, qui, comme d'autres, s'est exprimée sous couvert d'anonymat pour discuter d'un sujet sensible. « Et d'un autre côté, quelle serait la valeur d'une opération potentielle à plus long terme pour perturber un écosystème ? Ce sont les questions pour lesquelles nous continuerons de devoir trouver un équilibre. »
Le FBI a finalement partagé la clé avec Kaseya, la société informatique dont le logiciel a été infecté par des logiciels malveillants, le 21 juillet (soit 19 jours après l'attaque). Kaseya a demandé à la société de sécurité néo-zélandaise Emsisoft de créer un nouvel outil de déchiffrement que Kaseya a publié le lendemain.
À ce moment-là, il était trop tard pour certaines victimes.
« La clé de déchiffrement aurait été utile trois semaines avant de l'avoir, mais nous avions déjà commencé une restauration complète des systèmes de nos clients », a indiqué Joshua Justice, propriétaire de la société informatique du Maryland JustTech, qui comptait environ 120 clients touchés par l'attaque.
Justice, dont la société JustTech est l'un des clients MSP de Kaseya, a passé plus d'un mois à restaurer les systèmes de ses clients. « J'avais des gens qui me criaient dessus en personne et au téléphone pour me demander si leur activité allait reprendre », a-t-il déclaré. « Un homme m'a dit : "Dois-je simplement prendre ma retraite ? Dois-je laisser partir mes employés ?" ; »
Sans la clé pour restaurer les données chiffrées dans un état lisible, les victimes ont été obligées d'essayer de récupérer des copies de sauvegarde des données ou de remplacer leurs systèmes, des processus à la fois coûteux et longs.
Justice avait des équipes de sécurité travaillant par équipes de 18 heures pour remettre en service les systèmes de l'entreprise et de ses clients. C'était, dit Justice, « un mois d'enfer ». Aucun des clients de JustTech n'a payé de rançon car le fournisseur informatique a pu restaurer les systèmes à partir des sauvegardes qu'il détenait séparément, a déclaré Justice. D'autres entreprises, inquiètes de l'impact sur leurs activités, ont payé une rançon bien avant que la clé de déchiffrement ne soit disponible.
Devant le Congrès, le directeur du FBI, Christopher A. Wray, a indiqué que le retard résultait en partie du travail conjoint avec les alliés et d'autres agences : « Nous prenons les décisions en groupe, pas unilatéralement », a-t-il déclaré, notant qu'il devait restreindre ses propos car l'enquête était en cours à ce moment là. « Ce sont des décisions complexes, conçues pour créer un impact maximal, et cela prend du temps pour affronter des adversaires, temps pendant lequel nous devons mobiliser des ressources non seulement dans le pays mais partout dans le monde ».
Il a également suggéré que « tester et valider » la clé de déchiffrement a contribué au retard. « Il faut beaucoup d'ingénierie pour développer un outil » qui peut être utilisé par les victimes, a-t-il déclaré lors d'une audience du Comité sénatorial de la sécurité intérieure.
Emsisoft, cependant, a pu agir rapidement. Il a extrait la clé de ce que le FBI a fourni à Kaseya, a créé un nouveau déchiffreur et l'a testé, le tout en 10 minutes, selon Fabian Wosar, directeur de la technologie d'Emsisoft. Le processus a été rapide car la société connaissait le ransomware de REvil. « Si nous devions partir de zéro », a déclaré Wosar, « cela aurait pris environ quatre heures. »
L'impact sur différents clients
Lors de cette attaque de juillet, REvil a piraté le logiciel fourni par Kaseya, une société informatique basée à Miami, et 54 des clients de Kaseya ont été infectés. De nombreuses victimes étaient des « fournisseurs de services gérés » qui fournissent des logiciels informatiques aux clients pour améliorer l'efficacité du réseau. Des centaines de clients des fournisseurs de services gérés, qui utilisaient le logiciel Kaseya, ont été à leur tour victimes. Kaseya a estimé qu'entre 800 et 1 500 entreprises au total étaient infectées.
La chaîne d'épicerie suédoise Coop a déclaré qu'elle ne savait pas encore combien cela coûterait de fermer temporairement ses magasins. « Nous avons dû fermer environ 700 de nos magasins, et il a fallu six jours pour qu'ils rouvrent tous », a déclaré la porte-parole Helena Esscher. « L'impact financier dépend de plusieurs facteurs, comme la perte de ventes, bien sûr, mais aussi les assurances et dans quelle mesure elles couvrent des événements comme celui qui s'est produit ».
Deux analystes qui étudient les chaînes d'épicerie ont déclaré que la fermeture de Coop aurait pu coûter à l'entreprise des millions de dollars en pertes d'affaires.
REvil avait exigé des rançons allant de 45 000 $ à 5 millions de dollars par appareil infecté, selon la taille de l'entreprise. À un moment donné, il a exigé que Kaseya paie 70 millions de dollars pour une clé de déchiffrement universelle, une clé qui fonctionnerait sur tous les réseaux concernés.
Certaines entreprises d'intervention en cas d'incident facturent de 400 à 500 dollars de l'heure pour enquêter sur l'attaque, notamment pour savoir comment l'intrus est entré, expulser l'attaquant et contenir les dégâts. Ensuite, il y a les coûts de restauration des systèmes à l'aide de données sauvegardées et de renforcement de la résilience pour éviter une attaque répétée. Les frais juridiques et comptables doivent également être pris en compte.
Et vous ?
Le FBI a-t-il, selon vous, pris une bonne décision en choisissant de ne pas communiquer directement la clé de déchiffrement (au motif de la poursuite de l'enquête, du besoin d'avoir l'aval des autres organismes sur l'affaire, etc.) ? Dans quelle mesure ? 
Envoyé par marsupial
