Une patate chaude : Une attaque de ransomware a touché des centaines d’entreprises à travers les États-Unis, dans une attaque de chaîne d’approvisionnement qui cible la plate-forme de gestion de système VSA de Kaseya (utilisée pour la surveillance à distance et la gestion informatique). Alors que Kaseya affirme que moins de 40 clients sur plus de 36 000 ont été touchés, le ciblage de grands fournisseurs de services gérés a entraîné un grand nombre de clients plus en aval.
Kaseya déclare avoir été informé d’un incident de sécurité vers midi vendredi, en conséquence, ils ont mis ses services cloud en mode maintenance et ont émis un avis de sécurité conseillant à tous les clients disposant d’un serveur VSA local de le fermer jusqu’à nouvel ordre, comme « L’une des premières choses que fait l’attaquant est de couper l’accès administratif au VSA. » Kaseya a également informé le FBI et la CISA et a lancé sa propre enquête interne.
La deuxième mise à jour de la société indiquait que l’arrêt du cloud VSA n’avait été effectué qu’à titre de précaution et que les clients utilisant leurs serveurs SaaS « n’étaient jamais en danger ». Cependant, Kaseya a également déclaré que ces services resteront suspendus jusqu’à ce que l’entreprise détermine qu’il est sûr de reprendre ses activités, et au moment de la rédaction de la suspension du cloud VSA avait été prolongée jusqu’à 9h HE.
A quoi ressemblent les systèmes infectés. Image : Kevin Beaumont, via DoublePulsar
Le gang de ransomware REvil semble avoir sa charge utile livrée via une mise à jour logicielle automatique standard. Il utilise ensuite PowerShell pour décoder et extraire son contenu tout en supprimant simultanément de nombreux mécanismes Windows Defender, tels que la surveillance en temps réel, la recherche dans le cloud et l’accès contrôlé aux dossiers (fonctionnalité anti-ransomware intégrée de Microsoft). Cette charge utile comprend également une version plus ancienne (mais légitime) de Windows Defender, qui est utilisée comme exécutable de confiance afin de lancer une DLL avec le crypteur.
On ne sait pas encore si REvil vole des données aux victimes avant d’activer leur ransomware et leur cryptage, mais le groupe est connu pour l’avoir fait lors d’attaques antérieures.
L’ampleur de l’attaque est toujours en cours ; Les attaques de la chaîne d’approvisionnement comme celles-ci qui compromettent les maillons faibles plus en amont (au lieu de toucher directement les cibles) ont le potentiel de faire des ravages à grande échelle si ces maillons faibles sont largement utilisés – comme le VSA de Kaseya, dans ce cas. De plus, son arrivée le week-end du 4 juillet semble avoir été programmée pour minimiser la disponibilité du personnel pour faire face à la menace et ralentir la réponse à celle-ci.
BleepingComputer a initialement déclaré que huit MSP avaient été touchés et que la société de cybersécurité Huntress Labs connaissait 200 entreprises compromises par les trois MSP avec lesquels elle travaillait. Cependant, d’autres mises à jour de John Hammond de Huntress montrent que le nombre de MSP et de clients en aval concernés est bien plus élevé que ces premiers rapports et continue de croître.
** <40. Kaseya déclare moins de 40 clients concernés. pic.twitter.com/PyENI96A5E
– John Hammond (@_johnhammond) 3 juillet 2021
Les demandes ont énormément varié. Destiné à être payé en crypto-monnaie Monero, la plupart des rançons semblent être commencer à 44 999 $, mais ils peuvent aller jusqu’à 5 millions de dollars. De même, la date d’échéance du paiement – après laquelle la rançon est doublée – semble également varier d’une victime à l’autre.
Bien entendu, les deux chiffres sont susceptibles de dépendre de la taille et de l’échelle de la cible visée. REvil, qui, selon les autorités américaines, a des liens avec la Russie, a obtenu 11 millions de dollars des transformateurs de viande JBS le mois dernier et a exigé 50 millions de dollars d’Acer en mars.
Image d’en-tête : Ordinateur qui émet un bip