Pendant trois semaines lors de l’attaque du ransomeware REvil cet été, le FBI a secrètement retenu la clé qui aurait déchiffré les données et les ordinateurs sur jusqu’à 1 500 réseaux, y compris ceux gérés par les hôpitaux, les écoles et les entreprises.
Le FBI avait pénétré les serveurs du gang REvil pour obtenir la clé, mais après en avoir discuté avec d’autres agences, le bureau a décidé d’attendre avant de l’envoyer aux victimes de peur d’avertir les criminels, Le Washington Post rapports. Le FBI n’avait pas voulu avertir le gang REvil et avait espéré mettre fin à leurs opérations, ont déclaré des sources au Post.
Au lieu de cela, REvil s’est éteint le 13 juillet avant que le FBI ne puisse intervenir. Pour des raisons qui n’ont pas été expliquées, le FBI n’a pas craché la clé. jusqu’au 21 juillet.
« Nous prenons les décisions en tant que groupe, pas unilatéralement », a déclaré mardi au Congrès le directeur du FBI, Christopher Wray. « Ce sont des décisions complexes… conçues pour créer un impact maximal, et qui prennent du temps à affronter des adversaires où nous devons mobiliser des ressources non seulement dans tout le pays mais partout dans le monde. »
Des années de perturbation
REvil utilise depuis longtemps des tactiques de haute pression pour extorquer des victimes. Le gang basé en Russie est apparu pour la première fois en 2019, et il était en larmes plus tôt cette année. En mars, le groupe a piraté un cabinet d’avocats célèbre qui représentait U2, Madonna et Lady Gaga, exigeant 21 millions de dollars. Lorsque le cabinet d’avocats a hésité, REvil a doublé la demande et a publié certains des dossiers de Lady Gaga. En avril, le gang a volé des données au sous-traitant Quanta Computer, publiant les détails de deux produits Apple. Puis en mai, il fermer Les opérations de Colonial Pipeline du New Jersey au Texas, entraînant des pénuries de carburant.
Le groupe a refait surface cet été lorsqu’il opérations perturbées chez le transformateur de viande brésilien JBS et a provoqué la fermeture de plusieurs usines aux États-Unis, au Canada et en Australie. Il a de nouveau frappé en exploitant un jour zéro dans les outils de gestion à distance fabriqués par Kaseya, une société informatique basée en Floride. Le trou dans le produit VSA de l’entreprise a permis à REvil d’accéder à 54 fournisseurs de services qui gèrent les réseaux de jusqu’à 1 500 entreprises et autres organisations.
Des épiceries en Suède, des mairies du Maryland, des écoles en Nouvelle-Zélande et un hôpital en Roumanie ont tous été touchés par l’attaque. Coop, la chaîne d’épicerie suédoise, a fermé environ 700 magasins et a mis environ six jours à rouvrir. D’autres victimes ont passé des semaines à restaurer leurs systèmes.
Ils sont de retour
Jeudi dernier, la firme de cybersécurité Bitdefender publié un outil de décryptage universel pour les réseaux et les ordinateurs cryptés avant le début de l’hibernation de REvil le 13 juillet. Environ 250 victimes ont utilisé l’outil jusqu’à présent, a déclaré un cadre de Bitdefender. La clé qui a rendu l’outil possible proviendrait d’un organisme d’application de la loi, mais pas du FBI.
Malgré les efforts du FBI pour le supprimer, REvil est de retour ce mois-ci avec une nouvelle série d’attaques, piégeant au moins huit nouvelles victimes, a rapporté le Post. L’outil Bitdefender, cependant, ne fonctionnera pas pour les nouvelles victimes, signe que REvil a réorganisé ses opérations après un bref temps d’arrêt.
