Kaseya a-t-il payé la rançon ?

L’éditeur, victime d’une attaque par ransomware qui s’est répandu chez ses clients, a commencé à aider ses clients à déchiffrer leurs fichiers. Kaseya a en effet obtenu une « méthode universelle de déchiffrement » pour le ransomware REvil auprès d’un « tiers de confiance ». Ce qui laisse planer le doute sur le possible paiement par l’entreprise de la rançon exigée par les opérateurs de REvil.

Quelques jours après que le ransomware REvil se soit répandu sur les serveurs VSA on-premise des clients de Kaseya, le groupe opérant ce programme malveillant disparaissait. Non seulement des forums spécialisés et du darkweb, mais c’est également toute son infra, ses serveurs qui étaient supprimés. Ce qui n’a guère rassuré les clients de Kaseya touchés par l’attaque, qui se retrouvaient alors privés de tout lien avec ceux qui détiennent les clés de déchiffrement.

Et voilà que The Record nous apprend que Kaseya a obtenu un « décrypteur universel » pour REvil et a commencé à assister ceux de ses clients victimes de l’attaque à récupérer leurs données chiffrées. Selon un porte-parole, ce qui semble être une clé de déchiffrement « maître » a été récupérée plus tôt cette semaine auprès d’un tiers de confiance. Mais l’entreprise se refuse à donner le moindre détail supplémentaire.

Des questions plus que des réponses

L’outil de déchiffrement a été testé de sorte à s’assurer qu’il fonctionne correctement avant d’être transmis aux 800 à 1500 clients concernés. Mais ce « miracle » soulève de nombreuses questions quant à qui a fournit cet outil de déchiffrement à Kaseya. L’entreprise ou l’un de ses prestataires lors de cette crise a-t-il négocié en sous-main avec les opérateurs de REvil ? Ces derniers ont-ils gracieusement fourni les clés avant de disparaître, à l’instar d’Avaddon ? L’outil a-t-il été envoyé par les autorités d’un quelconque pays qui aurait opéré une descente chez les créateurs de REvil ou l’un de leurs affiliés, et récupéré les clés de déchiffrement à cette occasion ?