L’éditeur, victime comme bon nombre de ses clients d’un ransomware, a obtenu la semaine dernière une clé de déchiffrement. Immédiatement on a soupçonné que Kaseya avait cédé aux exigences de REvil, ce que l’entreprise nie en bloc.
Début juillet, on apprenait que l’éditeur de solutions ITSM Kaseya rejoignait la liste déjà longue des victimes du ransomware REvil. Petit souci : les opérateurs du programme malveillant ont utilisé l’outil VSA de Kaseya pour infecter par rebond les clients de cette dernière, et les clients de ses clients. On estime entre 800 et 1400 le nombre d’organisations victimes de REvil à l’occasion de cette attaque.
Pourtant, la semaine dernière, Kaseya annonçait avoir obtenu un « décrypteur universel » pour REvil et commencé à assister ceux de ses clients victimes du ransomware à récupérer leurs données chiffrées. L’entreprise ne donnait aucun autre détail quant à la provenance de ce qui semble être une clé de déchiffrement « maître », sinon qu’elle lui a été fournie la veille par « un tiers de confiance ».
Pas un cent
Il n’en fallait pas plus pour que certains soupçonnent l’entreprise d’avoir céder aux demandes des hackers, qui exigeaient tout de même 70 millions de dollars. Ce qui n’a pas manqué de faire réagir Kaseya par voie de communiqué.
« Des reportages récents ont suggéré que notre silence quant à savoir si Kaseya a payé la rançon ou non peut encourager d'autres attaques de ransomware » indique l’éditeur dans le fil d’informations relatif à VSA. « Rien ne saurait être plus éloigné de notre objectif ». Kaseya assure « après consultation d'experts » avoir pris la décision de ne pas négocier avec les cybercriminels.
« Nous n'avons pas dérogé à cet engagement. En tant que tel, nous confirmons sans équivoque que Kaseya n'a pas payé de rançon - directement ou indirectement par l'intermédiaire d'un tiers - pour obtenir le décrypteur » martèle l’éditeur américain.