La botte secrète du CERT-FR, Avast et Emsisoft contre Rhysida

Le gang Rhysidia revendique l’attaque contre la collectivité territoriale de Martinique


Rhysida, l’un des rançongiciels les plus actifs en 2023 selon l’entreprise Coveware, avait un talon d’achille. On vient en effet d’apprendre que plusieurs entreprises et organismes, dont le Centre de veille, d’alerte et de réponse aux attaques informatiques (CERT-FR) de l’Anssi, avaient identifié une faille permettant de déchiffrer les fichiers passés à la moulinette du rançongiciel.


C’est ce que vient de dévoiler Fabian Wosar, le responsable de la recherche sur les rançongiciels de la société Emsisoft. Selon la chronologie qu’il a publié sur X (ex-Twitter), ce spécialiste en sécurité informatique avait découvert cette vulnérabilité dans la version Windows de ce programme malveillant en mai 2023, alors que le rançongiciel venait tout juste d’être signalé.

Des centaines de systèmes déchiffrés 


Toujours selon ses dires, le CERT-FR avait ensuite publié un rapport privé au cours du mois de juin. Enfin, en octobre, la société Avast avait elle aussi identifié la vulnérabilité. “Je ne connais pas les données d’Avast et du CERT-FR, mais nous avons depuis déchiffré des centaines de systèmes”, a précisé Fabian Wosar au sujet de l’action de son employeur.


Dans un post, Avast précise avoir identifié en août 2023 la vulnérabilité cryptographique. Si l’entreprise avait ensuite publié en octobre une analyse technique du programme malveillant, elle avait intentionnellement passé sous silence sa découverte, la réservant aux victimes du rançongiciel. Au décompte de février, ce gang spécialisé dans l’extorsion liste environ 80 organisations victimes sur son site TOR.

La Martinique visée 


Un secret qui n’a plus lieu d’être depuis la publication, par cinq chercheurs de la Corée du sud, d’un article sur une vulnérabilité dans le chiffrement de Rhysida. Une façon, expliquent-ils, de contribuer “à atténuer les dommages infligés par le ransomware Rhysida”. Leur annonce a pourtant été fraîchement accueillie: en publiant leur découverte, ils ont en effet alerté les cybercriminels.



“Il faudra probablement quelques semaines pour savoir si le gang Rhysida a corrigé ce bug, mais il le fera très probablement”, résume la newsletter spécialisée Risky Biz news, à moins d’abandonner ce programme malveillant pour lancer une nouvelle franchise.

En France, la collectivité territoriale de Martinique avait été victime de ce gang avec une attaque enregistrée à la mi-mai.

On ignore toutefois si le déchiffreur du CERT-FR a pu être employé au cours de cette crise d’ampleur. Reste que la restauration des données n’est qu’un des aspects de la remédiation. “La cyberattaque nous a mis par terre, nous sortons doucement de cette situation”, avait d’ailleurs déclaré à la fin septembre, soit plusieurs mois plus tard, le président de la collectivité, Serge Letchimy.



Source link

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.