Ransomware Group exige un paiement Bitcoin de 70 millions de dollars pour déverrouiller les ordinateurs infectés
Le groupe REvil a de nouveau frappé, cryptant plus d'un million de systèmes et exigeant un paiement de 70 millions de dollars en Bitcoin pour libérer le "décrypteur universel" afin de déverrouiller les fichiers cryptés sur chaque système affecté.
Selon les estimations, le nombre total d'entreprises concernées est d'environ 200, dont une quarantaine ont été ciblées via Kaseya, le fournisseur de services gérés (MSP) qui serait au centre de cette attaque de la chaîne d'approvisionnement.
REvil Group exige un paiement Bitcoin de 70 millions de dollars pour le décrypteur
Tard le 2 juillet 2021, des informations faisant état d'une autre attaque de ransomware majeure se sont propagées sur Internet. Environ 30 MSP ont été ciblés, affectant des centaines d'entreprises et, théoriquement, des millions d'ordinateurs individuels.
Il est rapidement apparu que le célèbre syndicat du crime REvil était à l'origine de l'attaque par ransomware, le groupe exigeant des rançons allant jusqu'à 50 000 $ pour déverrouiller des systèmes individuels, avec des clés de déchiffrement plus importantes à l'échelle de l'entreprise proposées jusqu'à 5 millions de dollars, tous les paiements étant effectués en Bitcoin.
Cependant, tard le dimanche 4 juillet 2021, une mise à jour du site Web sombre de REvil a révélé que l'organisation criminelle fournirait une clé de déchiffrement universelle à toutes les entreprises et organisations concernées, pour la modique somme de 70 millions de dollars.
REvil frappe 200 entreprises dans une attaque de la chaîne d'approvisionnement
Selon un rapport consulté par la BBC , environ 200 entreprises basées aux États-Unis ont été touchées par des ransomwares. L'effet d'entraînement de l'attaque, cependant, a été beaucoup plus important. En raison de la nature d'une attaque de chaîne d'approvisionnement , où la victime initiale est souvent un tremplin vers les victimes secondaires, l'attaque du ransomware REvil a plusieurs victimes supplémentaires.
En Suède, 500 supermarchés Coop ont été contraints de fermer, ainsi que 11 écoles en Nouvelle-Zélande, et plusieurs autres petits incidents se sont propagés dans le monde entier. Selon le PDG de Kaseya, Fred Voccola, les victimes seraient principalement "des cabinets dentaires, des cabinets d'architecture, des centres de chirurgie plastique, des bibliothèques, des choses comme ça".
On pense qu'il y a plus de victimes, dont beaucoup n'ont pas encore signalé ou divulgué la violation du logiciel de rançon ou si elles ont tenté de payer la rançon.
Des chercheurs néerlandais en sécurité ont signalé la vulnérabilité Zero-Day de Kaseya
Dans un dernier coup, des chercheurs en sécurité de l'Institut néerlandais pour la divulgation des vulnérabilités ont révélé qu'ils avaient précédemment contacté Kaseya au sujet de plusieurs vulnérabilités zero-day (suivies sous CVE-2021-30116 ) dans le cadre des directives de divulgation responsable.
Les chercheurs ont travaillé avec Kayesa, « en donnant notre avis sur ce qui s'est passé et en les aidant à y faire face. Cela incluait de leur donner des listes d'adresses IP et d'identifiants de clients qui n'avaient pas encore répondu, qu'ils ont rapidement contactés par téléphone.
Mais le plus important à retenir est que Kayesa était au courant de la vulnérabilité dangereuse avant que le ransomware REvil ne frappe, ce qui pourrait devenir un problème majeur dans le processus post-mortem pour les nombreuses entreprises concernées.