Kaseya VSA est un logiciel populaire pour la gestion de réseau à distance, utilisé par de nombreux fournisseurs de sécurité ou par des sociétés qui fournissent des services informatiques précis à d'autres entreprises. Le 3 juillet, un logiciel malveillant a été publié et poussé par les serveurs de Kaseya VSA, se propageant aux serveurs dédiés et entraînant la compromission et le cryptage de milliers de nœuds dans des centaines d'entreprises différentes. L'attaque a été rapidement liée à un groupe de hackers notoire appelé ‘’REvil’’, eux-mêmes liés à la Russie. Récemment, des chercheurs en sécurité ont signalé que tous les sites dans le darknet de REvil, y compris le site de paiement, le site public du groupe, les services de chat et leur portail de négociation, sont désormais hors service.
Une menace éliminée ou volontairement désactivée ?
Jusqu’à présent les experts n’arrivaient toujours pas à dire la raison exacte de l’évanouissement du groupe de hackers de la toile. Cependant pour certains, la si radicale disparition du groupe, se désignait plus comme le résultat d’une contre mesure répressive que comme une action concertée et volontaire de la part des hackers. Le fait est que, les récurrentes attaques informatiques sur le sol américain avaient sérieusement mis à mal des relations USA-Russie déjà bien tendues depuis les dernières élections présidentielles.
Mais en Europe, Biden et Poutine s’étaient donné la main, et des discussions franches et productives avaient pu se mettre en place. De fait, il y a quelques jours, le président américain Joe Biden a révélé s’être directement adressé au président russe Vladimir Poutine à la suite de l'attaque massive de REvil contre Kaseya qui a touché près de 1 500 organisations rien qu’aux USA. « J'ai dit très clairement (...) que les États-Unis attendent d'eux (autorités russes ndlr), lorsqu'une opération de ce type vient de leur sol, même si ce n'est pas parrainé par l'État, qu'ils agissent si nous leur donnons suffisamment d'informations pour le faire », a déclaré le président Biden. Avant d’ajouter : « nous avons mis en place un moyen de communication maintenant de manière régulière pour pouvoir communiquer entre nous lorsque chacun de nous pense que quelque chose se passe dans un autre pays qui affecte le pays d'origine. (…) Je suis optimiste ».
Un optimisme qui selon les observateurs trouvait ici, dans la disparition de ‘’REvil’’, sa justification. Selon Allan Liska expert au CSIRT, un centre d'alerte et de réaction aux attaques informatiques, destiné aux entreprises ou aux administrations, il était agréable de penser que le groupe de hackers avait été « museler » par la répression de la loi. Mais il fallait encore la confirmation des autorités russes. Pour d’autres consultants par contre, cette disparition du groupe même si une première victoire, ne signifiait pas pour autant la fin des activités du groupe. REvil pourrait selon eux réapparaitre sous un autre nom et cette fois se scinder en entités beaucoup plus discrètes.
