Revil, un gang de cyber criminels, a avoué sur un forum qu’il aurait publié « accidentellement » une clef de décryptage universelle utilisable par les victimes de l’attaque par rançongiciel sur Kaseya.
Nouveau rebondissement sur l’affaire Kaseya. Le Revil, un gang de cyber criminels, a avoué le 10 septembre sur un forum qu’il aurait publié « accidentellement » une clef de décryptage utilisable par les victimes de l’attaque par rançongiciel Sodinokibi sur Kaseya.
En effet, il a expliqué, en russe, sur le forum Exploit comment il aurait publié « accidentellement » une clef de décryptage utilisable par les victimes de Kaseya (source Flashpoint) : « Notre processus de cryptage nous permet de générer soit une clé de décryptage universelle, soit des clés individuelles pour chaque machine, Un de nos codeurs s’est trompé et a généré une clé universelle, et a émis la clé de décryptage universelle ainsi qu’un tas de clés pour une machine. C’est comme ça qu’on se fait chier. »
Une erreur de « manipulation » ?
Et pour cause, REvil aurait été obligé de créer de 20 et 500 clés de décryptage pour chacun des quelques 1500 clients de Kaseya compromis. C’est ce volume important de clés qui aurait conduit à une erreur, Selon les experts, les victimes ayant payé la rançon – Revil évoque 10 M$ versés à ses affiliés au total – ont découvert que la clé de décryptage universelle figurait parmi les clés de décryptage individuelles… Celle-ci a été ensuite largement diffusée par Kaseya.
Etonnant, non ? Car Revil avait officiellement disparu des radars dès mi-juillet après leur attaque massive réussie en juillet 2021 contre Kaseya, Or, Happy Blog, le blog du tristement célèbre gang de cyber criminels affiliés est revenu en ligne deux jours avant cette annonce.
La vérité est ailleurs ?
Autre version intéressante : des rumeurs ont circulé en septembre selon lesquelles le KGB aurait « reçu » de REvil un décrypteur universel pour Kaseya, que le gang voulait facturer 50 M$ aux victimes, et qu’il l’aurait transmis à ses homologues américaines. Un rapport avec les conversations de cet été entre Joe Biden et Vladimir Poutine sur la façon de lutter contre la cybercriminalité… ou sur la décision du Gouvernement américain de lever les sanctions contre les entreprises participant au gazoduc russe Nord Stream 2 ? Ou s’agit-il d’un règlement de comptes entre Revil et certains de ses affiliés échaudés de l’avoir vu disparaître mi-juillet, ou qui exigent leurs parts du butin ?