Kaseya : que faut-il savoir sur le ransomware qui se propage massivement ?

06 juillet 2021 à 13h05
10
ransomware © Kaspersky

Vendredi, de nombreuses entreprises ont eu une mauvaise surprise : elles ont été victimes d'un ransomware à travers une attaque dirigée contre Kaseya.

Cette attaque a pu être possible à cause d'une faille zero-day présente dans Kaseya VSA, qui a été exploitée par REvil et a permis la propagation rapide du ransomware à des MSP (Managed Services Providers) et leurs clients.

Une vulnérabilité zero-day sur le point d'être corrigée

Kaseya développe des solutions et des services à destination des fournisseurs de services managés (MSP). Vendredi, alors que la plupart des Américains se préparaient à célébrer le week-end du 4 juillet, l'entreprise a été victime d'une attaque sur l'une de ses solutions, Kaseya VSA. Celle-ci permet à ses utilisateurs de déployer des mises à jour et de surveiller les systèmes informatiques de leurs clients à distance.

Cependant, une vulnérabilité était présente sur le système. Celle-ci avait été découverte par le DIVD, l'institut néerlandais pour la divulgation des vulnérabilités, qui avait prévenu l'entreprise. Kaseya était donc en train de la corriger et le patch était même en cours de validation quand REvil, ou l'une de ses filiales, a frappé, exploitant la vulnérabilité zero-day pour mener son attaque. Pour le moment, peu de détails ont été communiqués à propos de cette faille, mis à part le fait qu'elle était assez facile à exploiter.

Grâce à elle, le groupe de hackers a pu distribuer des fichiers malveillants sous couvert d'une mise à jour automatique de Kaseya VSA et propager le ransomware aux MSP utilisant la solution, mais aussi à leurs clients. Il n'est pas possible pour le moment de savoir précisément combien d'entreprises ont été touchées par cette attaque, mais il était estimé vendredi que plus de 1 000 d'entre elles ont vu leurs fichiers être chiffrés tandis que REvil avance le nombre d'un million sur son site.

Des milliers d'entreprises touchées et des conséquences immédiates

Les conséquences se sont vite fait sentir, par exemple en Suède où la chaîne de supermarchés Coop a dû fermer 500 de ses 800 magasins à cause d'une indisponibilité de ses caisses suite à l'attaque qui visait son fournisseur, Visma Esscom. En Allemagne, une entreprise de services informatiques a déclaré que plusieurs milliers de ses clients avaient été compromis et aux Pays-Bas, deux grosses entreprises de services informatiques faisaient partie des victimes.

Toutes les firmes concernées ne l'ont pas déclaré publiquement et il est estimé que des entreprises dans au moins 17 pays sont concernées. Suite à la découverte de l'attaque, Kaseya a expressément demandé à ses clients d'éteindre leurs serveurs VSA et a déconnecté ses serveurs SaaS.

Les victimes ont rapidement reçu une demande de rançon de REvil, qui demandait entre 50 000 et 5 millions de dollars en Bitcoin afin de fournir une clé de déchiffrement. Lundi, le gang a décidé de négocier une clé de déchiffrement universelle pour toutes les victimes, demandant 70 millions de dollars en Bitcoin avant de baisser le prix à 50 millions, ce qui pourrait indiquer que le groupe a du mal à gérer les demandes de rançons individuelles à cause de l'ampleur de l'attaque. D'après des communications entre le groupe et une victime rapportées par BleepingComputer, REvil n'aurait cette fois pas utilisé le principe de « double extorsion », qui consiste à voler les données de leurs victimes en plus de chiffrer leurs fichiers.

Le FBI et la CISA (Cybersecurity and Infrastructure Security Agency) ont assuré être en train d'enquêter et ont détaillé les mesures devant être entreprises pour détecter et mitiger l'attaque. De son côté, le président Biden a indiqué que les États-Unis étaient prêts à répondre s'il était révélé que le Kremlin était impliqué.

Sources : AP, BleepingComputer

Fanny Dufour

Arrivée dans la rédaction par le jeu vidéo, c’est par passion pour le développement web que je me suis intéressée plus largement à tout ce qui gravite autour de notre consommation des outils numérique...

Lire d'autres articles

Arrivée dans la rédaction par le jeu vidéo, c’est par passion pour le développement web que je me suis intéressée plus largement à tout ce qui gravite autour de notre consommation des outils numériques, des problématiques de vie privée au logiciel libre en passant par la sécurité. Fan inconditionnelle de science-fiction toujours prête à expliquer pendant des heures pourquoi Babylon 5 est ma série préférée.

Lire d'autres articles
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news

A découvrir en vidéo

  • Indépendance
  • Transparence
  • Expertise

L'équipe Clubic sélectionne et teste des centaines de produits qui répondent aux usages les plus courants, avec le meilleur rapport qualité / prix possible.

Haut de page

Sur le même sujet

Rejoignez la communauté Clubic S'inscrire

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

S'inscrire

Commentaires (10)

DarkStarOne
Et le Kremlin a indiqué que la Russie était prête à répondre s’il était révélé que Biden était impliqué…
nicgrover
Xi Ping quant à lui ne se prononce pas…
Cynian90
Et le gentil héros dans l’histoire, c’est le DIVD qui a donné la faille aux hackeurs avant que l’entreprise n’ait pu la patcher :<br /> «&nbsp;Eh regardez, j’ai trouvé un passage secret vers les tunnels oú des juifs se cachent, je leur laisse quand même trois jours pour combler le trou puis je vais afficher ça sur la place publique devant l’officine nazi avec mon nom en gras en bas de la page&nbsp;».<br /> Quelqu’un pour retracer l’émergence de cette culture du on doit dévoiler la faille au publique à tout prix ?
leaskim
Simple: sans ça les entreprises ne patchent jamais.
ARTUSA
Statistiquement parlant, en faisant ça on augmente pas justement les probabilités que la faille se fasse exploiter ? On rendrait pas le monde un peu plus pire à chaque fois qu’on dévoile une faille de cette manière ? On peut penser à toutes ces failles découvertes sur des anciennes versions de Windows et qui touchent des millions de machines à travers le monde, surexploitées dès qu’elles sont rendues publiques, tout ça pour rendre le labo ou la personne qui les a trouvé temporairement célèbres (parfois dans leur petite marre des spécialistes de sécurité), ça fait quand même beaucoup plus opportuniste que héros.
max_971
Il faut que les entreprises prévoient un plan B et C, maintenant.
bmustang
plan B on ferme la boite parce que pas de sauvegardes et plan C on licencie tout le monde
Voir tous les messages sur le forum