L’Affaire Kaseya n’en finit pas de finir… On apprend à présent de nos confrères du Washington Post que le FBI s’est abstenu pendant près de trois semaines d’aider à débloquer les ordinateurs des victimes du rançongiciel de REvil visant Kaseya alors qu’il en avait les moyens.
D’après plusieurs sources proches de l’agence de renseignement, le FBI aurait secrètement conservé cette clé pendant 19 jours parce qu’il voulait mener une opération contre REvil sans mettre quiconque au courant.
Les quelques 1.500 victimes et clientes du MSP Kaseya auraient donc pu éviter de dépenser des millions de dollars ou euros en frais de recouvrement, d’après les analyses du Washington Post.
Le démantèlement planifié par le FBI n’a pas eu lieu, d’après le quotidien. Le gang REvil a mis sa plateforme hors ligne le 13 juillet avant que le gouvernement américain n’ait eu le temps d’intervenir.
REvil a refait surface en début septembre et déclaré sur un forum russophone que la clé de décryptage universelle avait été communiquée par erreur par l’un des leurs : « Un de nos codeurs a mal cliqué et a généré une clé universelle (…). C’est comme ça qu’on se fait chier. ». L’opérateur de ransomware affirme avoir compromis au moins huit nouvelles victimes depuis son retour.
Rappelons que le fournisseur de cybersécurité Bitdefender a publié un décrypteur universel capable de déverrouiller les systèmes cryptés par REvil/Sodinokibi avant le 13 juillet mais pas après cette date.