Kaseya : les fournisseurs de service gérés visés par un groupe de ransomware

Spread the love
Kaseya : les fournisseurs de service gérés visés par un groupe de ransomware

Les cybercriminels du groupe Revil ont pris bonne note de l’efficacité des récentes attaques sur la supply chain. Le groupe revendique ce matin sur son site une attaque informatique ayant paralysé selon eux « plusieurs millions de terminaux informatiques » et réclame une rançon de 70 millions de dollars.

L’attaque s’est déclarée vendredi 2 juillet, signalée dans un premier temps par la société de cybersécurité Huntress et la presse américaine spécialisée. L’attaque a visé en premier lieu des fournisseurs de services gérés américains qui utilisaient le logiciel Kaseya VSA pour la gestion du parc informatique de leurs clients. Les attaquants sont parvenus à compromettre l’infrastructure de l’éditeur de logiciels et- à diffuser une mise à jour malveillante du logiciel auprès des clients ayant installé le logiciel dans sa version on premise.

L’institut néerlandais pour la divulgation responsable (DIVD) a fait savoir que ses chercheurs étaient parvenus à identifier certaines des failles exploitées par les attaquants pour s’attaquer à Kaseya, notamment une vulnérabilité 0day identifiée CVE-2021-30116. Selon les déclarations du DIVD, les failles avaient été identifiées et signalées à Kaseya avant le déclenchement de l’attaque, et des patchs correctifs avaient commencé à être élaboré, mais « nous avons été battus par REvil dans le sprint final, car ils ont été en mesure d’exploiter les vulnérabilités avant même que les clients ne puissent corriger » indique le DIVD. C’est grâce à ces failles que les attaquants sont parvenus à diffuser la mise à jour malveillante du logiciel Kaseya VSA.

publicité

Délicat décompte

Cette mise à jour malveillante a permis au groupe cybercriminel de diffuser son ransomware au sein des systèmes d’informations des entreprises clientes des sociétés d’infogérance. Kaseya estime le nombre d’organisations touchées à une quarantaine, mais si le décompte est réduit, il ne reflète pas le nombre de victimes « finales » de l’opération menée par les cybercriminels et se concentre uniquement sur les fournisseurs de services gérés affectés.

La société de cybersécurité Huntress répertorie de son côté une trentaine de fournisseurs de services gérés compromis, et estime le nombre d’organisations affectées par le ransomware de Revil à plus de 1000. Parmi les premières victimes déclarées, de nombreuses entreprises américaines, mais aussi des sociétés européennes : une chaîne de supermarché suédoise a ainsi été contrainte de fermer plus de 800 magasins ce week-end suite à l’attaque. D’autres sociétés suédoises et finlandaises sont également affectées selon les médias locaux. Pour l’instant, on ne sait pas si des organisations françaises ont été affectées par l’incident.

Dans ses recommandations, Kaseya demande aux utilisateurs de son logiciel de désactiver purement et simplement les serveurs utilisés pour faire fonctionner le logiciel Kaseya VSA en attendant un patch correctif qui devra être appliqué avant de relancer l’application. En attendant l’arrivée du correctif, la société fournit un outil de détection contenant les indicateurs de compromission liés à cette attaque afin de déterminer si un système a été compromis ou non par les attaquants.

Revil à la manoeuvre

<

p align=”center”> L’annonce publiée par le groupe Revil sur son site web

Sur son site web, le groupe Revil/Sodinokibi revendique l’attaque et propose de fournir un outil de déchiffrement pour l’ensemble des machines affectées par le ransomware contre un paiement de 70 millions de dollars. Pour ceux qui refusent de payer ce prix, le groupe offre également des outils de déchiffrement individualisé pour chaque organisation à des prix moins élevés : selon Emsisoft, certaines organisations se sont vu proposer des prix allant de 45 000 dollars à 5 millions. Revil semble avoir utilisé une nouvelle approche de chiffrement des données : les fichiers sont chiffrés avec différentes extensions, et les différentes offres de déchiffrement portent sur chaque extension. Pour les entreprises ayant des fichiers chiffrés avec différentes extensions, la note pourrait donc se révéler salée. Pour l’instant, le groupe Revil ne mentionne aucun vol de données auprès des entreprises victimes, mais Revil est connu pour avoir employé à plusieurs reprises cette tactique par le passé.

Ce n’est pas la première fois que ce type de scénario est exploité par le groupe cybercriminel Revil. En 2019, le groupe avait déjà visé plusieurs fournisseurs de services gérés, en utilisant des accès aux réseaux via le protocole RDP avant d’utiliser les outils de gestion de parc de différents fournisseurs pour diffuser leurs ransomwares en direction des entreprises clientes. 

Bien évidemment, les autorités américaines sont en branle-bas de combat : l’agence de cybersécurité du pays, la CISA, a annoncé ouvrir une enquête afin de comprendre l’ampleur de l’attaque, tandis que Kaseya a assuré travailler en collaboration avec le FBI et la CISA afin de juguler l’attaque.

Leave a Reply