Entre le moment où le FBI a obtenu la clé de déchiffrement de REvil, et celui où il a fourni cette clé aux victimes, trois semaines se sont écoulées. Trois semaines lors desquelles les victimes ont dépensé des millions de dollars en récupération de données.
L’information fait grincer des dents des deux côtés de l’Atlantique. Selon le Washington Post, le FBI a attendu trois semaines avant de fournir la clé de déchiffrement du ransomware REvil. La clé avait été obtenu en secret, en accédant aux serveurs du groupe de cybercriminel. Un précieux sésame qui aurait permis à bien des victimes de s’épargner la peine, et la dépense, d’une récupération de données via des backup, des mémoires tampon et autres.
Car, selon le journal américain, le coût de récupération s’est élevé à plusieurs millions de dollars pour les entreprises, les écoles et les hôpitaux victimes du rançongiciel. En juin, REvil, également connu sous le nom de Sodinokibi, frappait JBS, géant de la viande, alors contraint de suspendre ses opérations aux Etats-Unis, au Canada et en Australie. Un mois plus tard, c’est au tour de Kaseya d’être infecté. Et de 54 fournisseurs de services managés clients de Kaseya. Et aux 800 à 1500 entreprises clientes des clients de Kaseya.
Dans le doute, ne rien faire
Mais le FBI n’a pas bougé d’un iota. Avec l’accord d’autres agences, la police fédérale n’a pas fourni la clé, prévoyant une opération de grande ampleur pour mettre à bas REvil. Donner la clé aurait averti les cybercriminels des projets du FBI… Sauf que l’opération n’a jamais eu lieu : mi -juillet l’infrastructure de Sodinokibi est mise hors ligne et ses opérateurs disparaissent de la circulation.
Ce n’est que le 21 juillet, 19 jours après avoir obtenu la clé, que le FBI partage la clé avec Kaseya, qui la fournit à Emsisoft afin que soit développé un outil de déchiffrement. Mardi, devant le Congrès, le patron du FBI, Christopher Wray, expliquait que ce retard venait d’une part de la coopération avec d’autres agences, et de l’autre que tester et valider la clé avait pris du temps… sachant qu’il a fallu à Emsisoft 10 minutes pour extraire et tester la clé fournie. Un délai qui aurait pu être rallongé à quatre heures, max, selon le CTO de l’entreprise néozélandaise.
D’autant que jeudi dernier, Bitdefender a publié de son côté un déchiffreur universel pour REvil. Il ne précise pas d’où vient sa clé, mais les sources du Washington Post ont confirmé qu’il ne s’agissait pas du FBI. L’utilitaire avait été utilisé hier par 265 victimes de REvil, dont Bitdefender expliquait avoir des signes que le ransomware reprenait du service. Bien vu : l’infra de REvil est de nouveau en ligne et huit entreprises ont été ajoutées à son tableau de chasse ce mardi. Et, pour elles, la clé fournie par REvil ne fonctionne pas.