C’est toujours une question délicate à trancher : quand publier un moyen et une méthode pour corriger une faille ou déchiffrer des fichiers victimes d’un ransomware ? Le FBI a été confronté à ce choix cornélien avec le gang Revil. Le Washington Post rapporte que l’agence fédérale a secrètement retenu la clé qui aurait permis de déchiffrer les données et débloquer les PC de près de 1 500 réseaux dont ceux d’hôpitaux, d’écoles et d’entreprises.

L’affaire s’est déroulée pendant l’été où le FBI a réussi à pénétrer les serveurs du groupe Revil et obtenir une clé de déchiffrement dans le cadre de l’attaque audacieuse contre Kaseya. Les cybercriminels réclamaient alors une rançon de 70 M$. Ce précieux sésame, l’agence en accord avec d’autres autorités américaines a décidé de le garder sous le boisseau. « Nous prenons des décisions en collectif, pas de manière unilatérale », a expliqué au Congrès Christopher Wray, directeur du FBI. Il a précisé que ce silence était nécessaire dans le cadre d’une opération pour démanteler le groupe de cybercriminels. « Cela prend du temps dans la lutte contre les adversaires où nous devons rassembler des ressources non seulement dans tout le pays, mais aussi dans le monde entier ».

Un secret gardé pendant près de 3 semaines

Cette opération a finalement tourné court avec la disparition des activités de Revil le 13 juillet. Le FBI a fourni la clé aux victimes de l’attaque contre Kaseya à partir du 21 juillet, soit près de 3 semaines après sa découverte. Le 23 juillet, BitDefender annonce la disponibilité d’un déchiffreur universel pour les victimes de Revil avant le 13 juillet. La société de cybersécurité avait indiqué avoir obtenu ce déchiffreur par un « tiers de confiance » sans citer la source et elle précise aujourd’hui qu’il ne s’agit pas du FBI.

Reste que le groupe Revil ne semble pas avoir complètement disparu. Ses serveurs ont refait surface le 9 septembre dernier et a réactivé les campagnes de ransomwares avec pas moins de huit victimes, selon le Washington Post. Hélas pour ces nouvelles proies, il est impossible d’utiliser l’outil de déchiffrement universel de BitDefender, car le cybergang a révisé complètement son architecture d’attaque.