Ransomware : Bitdefender publie un outil de déchiffrement pour les victimes de REvil

Sécurité : L’outil de déchiffrement permettra aux victimes du groupe REvil/Sodinokibi touchées avant le 13 juillet de récupérer leurs données.

Bitdefender a publié un déchiffreur universel pour les victimes de REvil/Sodinokibi qui ont été infectées avant le 13 juillet 2021.

Dans un communiqué, l’entreprise de cybersécurité explique avoir créé cet outil avec « un partenaire de confiance des forces de l’ordre », dans le but d’aider les nombreuses victimes infectées par le ransomware.

Une clé de déchiffrement fonctionnelle

De nombreuses victimes de REvil ont refusé de payer une rançon ou ont payé une rançon, mais n’ont pas obtenu de clé de déchiffrement fonctionnelle avant que le groupe de ransomware disparaisse le 13 juillet à la suite d’une attaque massive menée le 4 juillet contre Kaseya, un développeur de solutions informatiques pour les fournisseurs de services managés (MSP) et les entreprises.

Le groupe a depuis refait surface et divulgué des informations sur de multiples victimes, annonçant même une nouvelle victime jeudi, le jour même où Bitdefender déployait son outil de déchiffrement.

Bogdan Botezatu, directeur de recherche sur les menaces chez Bitdefender, indique à ZDNet que des dizaines de téléchargements de l’outil de déchiffrement sont apparus dès sa sortie. L’entreprise a également été contactée en privé par plusieurs victimes qui attendaient de l’aide depuis l’émergence du groupe.

Un nombre de victimes inconnu

Bogdan Botezatu précise qu’il est impossible d’estimer le nombre de victimes que REvil a réussi à infecter depuis 2019, car toutes les victimes ne signalent pas les infections ou ne demandent pas d’aide.

Lorsqu’on lui a demandé pourquoi l’outil de déchiffrement ne fonctionne que pour les victimes infectées avant le 13 juillet et pas après, le chercheur a expliqué qu’il ne pouvait pas discuter des détails, mais que la principale différence est « liée aux clés de déchiffrement disponibles auprès du partenaire de confiance des forces de l’ordre ».

« Nous avons testé l’outil contre des attaques récentes et il ne peut pas encore déchiffrer les données des attaques qui ont eu lieu après la date du 13 juillet », indique-t-il. « Nous sommes heureux de pouvoir aider les victimes qui ont été touchées. Comme d’autres chercheurs du secteur, nous avons constaté que l’activité de REvil a repris. Sur la base de notre expérience, nous pensons que de nouvelles attaques de ransomware sont imminentes et que les organisations de toutes tailles et de tous les secteurs doivent être en alerte. »

Une nouvelle version de l’outil de déchiffrement

Bogdan Botezatu ajoute que l’entreprise travaille sur de nouvelles versions d’un outil de déchiffrement, ainsi que sur des outils de déchiffrement des familles de ransomware les plus importantes.

Dans une déclaration plus longue, Bitdefender précise que les victimes dont les données étaient chiffrées ont été laissées en plan lorsque certaines parties de l’infrastructure de REvil ont été mises hors ligne. L’entreprise de cybersécurité confirme également ne pas être en mesure de commenter certains détails de l’affaire jusqu’à y être autorisée par « le principal partenaire chargé de l’enquête des forces de l’ordre ».

« Les deux parties estiment qu’il est important de publier l’outil de déchiffrement universel avant la fin de l’enquête afin d’aider autant de victimes que possible », fait valoir Bitdefender. « Nous pensons que de nouvelles attaques REvil sont imminentes, après que les serveurs et l’infrastructure de soutien du gang du ransomware se sont récemment remis en ligne après une interruption de deux mois. Nous exhortons les organisations à être en alerte et à prendre les précautions nécessaires. »

11 millions de dollars de revenus

La société note que les opérateurs de REvil sont très probablement basés dans un pays de la Communauté des Etats indépendants (CEI) et que le groupe est apparu comme un dérivé du ransomware GandCrab en 2019. REvil a attaqué des milliers d’entreprises à travers le monde, exigeant des rançons exorbitantes en échange de la non-fuite de données.

Brett Callow, expert en ransomware et analyste des menaces chez Emsisoft, qui a travaillé sur des outils de déchiffrement pour d’autres souches de ransomware, explique que cette version aidera certainement toutes les victimes antérieures au 13 juillet qui n’ont pas été en mesure de récupérer complètement leurs données par d’autres moyens dans les semaines qui ont suivi.

« Le fait que l’outil de déchiffrement ait été « créé en collaboration avec un partenaire de confiance des forces de l’ordre » implique que ce partenaire a récupéré les clés », précise-t-il.

L’expert ajoute que REvil a attaqué au moins 360 organisations basées aux Etats-Unis cette année. Le site de recherche RansomWhere indique que le groupe a rapporté au moins 11 millions de dollars cette année, avec des attaques très médiatisées contre Acer, JBS, Quanta Computer et d’autres.

Source : ZDNet.com

Catégories