Kaseya : L’entreprise confirme que 1 500 entreprises ont été touchées
La société Kaseya a confirmé qu’environ 1 500 entreprises ont été touchées par une attaque contre son logiciel de gestion de parc, qui a été utilisée pour diffuser un ransomware.
Il semble que les attaquants aient mené une attaque par ransomware en exploitant une vulnérabilité du logiciel VSA de Kaseya contre plusieurs fournisseurs de services gérés (MSP) et leurs clients.
“À ce jour, nous savons que moins de 60 clients de Kaseya, qui utilisaient tous le produit VSA on premise, ont été directement compromis par cette attaque. Bien que beaucoup de ces clients fournissent des services informatiques à de nombreuses autres entreprises, nous estimons que l’impact total jusqu’à présent a été de moins de 1.500 entreprises. Nous n’avons pas trouvé de preuve que l’un de nos clients SaaS ait été compromis”, a déclaré Kaseya dans une mise à jour sur l’attaque.
Les attaquants ont exploité une faille précédemment inconnue dans le logiciel VSA de Kaseya, qui est utilisé par les MSP et leurs clients. VSA est un logiciel de surveillance et de gestion à distance, qui est utilisé pour gérer les terminaux, tels que les PC, les serveurs et les caisses enregistreuses, ainsi que pour gérer l’application de correctifs de sécurité.
Dimanche, les attaquants du groupe Revil ont demandé 70 millions de dollars en échange d’un outil de déchiffrement universel qui serait censé résoudre le problème pour Kaseya et ses clients.
Certaines victimes, comme le supermarché suédois Coop, sont restées fermées lundi à cause de l’attaque. La société travaille actuellement au remplacement de ses systèmes de caisse affectés dans plusieurs magasins, selon un communiqué publié lundi.
Kaseya a indiqué qu’elle n’avait reçu aucun rapport de clients VSA ayant été compromis depuis samedi. Elle affirme qu’aucun autre produit Kaseya n’a été compromis.
Bien que la gamme de software as a service (SaaS) de Kaseya n’ait pas été affectée, ses serveurs ont été mis hors service pendant la réponse à l’incident et restent hors ligne aujourd’hui.
Kaseya a développé un patch pour les clients utilisant VSA sur leurs propres serveurs. Un correctif devrait être disponible dans les 24 heures suivant la remise en ligne de ses serveurs SaaS, ce qui devrait se produire aujourd’hui, le 6 juillet, entre 14 et 17 heures Eastern Daylight Time, a déclaré Kaseya dans une mise à jour.
Kaseya travaille avec le FBI et la CISA pour déterminer les tâches de sécurisation des systèmes et du réseau avant de rétablir les services pour ses clients SaaS et sur site.
“Un ensemble d’exigences sera publié avant le redémarrage des services afin de donner à nos clients le temps de mettre en place ces contre-mesures en prévision d’un retour au service le 6 juillet”, a-t-il noté.
La société a également publié un nouvel outil gratuit de détection des menaces que les clients peuvent utiliser pour vérifier les réseaux et les ordinateurs. La nouvelle version recherche les indicateurs de compromission, le chiffrement des données et la note de rançon REVil.
“Nous vous recommandons de suivre cette procédure pour mieux déterminer si le système a été compromis par REVil”, a déclaré Kaseya.
Kaseya recommande toujours à ses clients de maintenir les serveurs VSA hors ligne jusqu’à ce qu’il soit possible de procéder à la restauration en toute sécurité.
Source : ZDNet.com
