Kaseya : que faut-il savoir sur le ransomware qui se propage massivement ?

06 juillet 2021 à 13h05
10

Vendredi, de nombreuses entreprises ont eu une mauvaise surprise : elles ont été victimes d'un ransomware à travers une attaque dirigée contre Kaseya.

Cette attaque a pu être possible à cause d'une faille zero-day présente dans Kaseya VSA, qui a été exploitée par REvil et a permis la propagation rapide du ransomware à des MSP (Managed Services Providers) et leurs clients.

Une vulnérabilité zero-day sur le point d'être corrigée

Kaseya développe des solutions et des services à destination des fournisseurs de services managés (MSP). Vendredi, alors que la plupart des Américains se préparaient à célébrer le week-end du 4 juillet, l'entreprise a été victime d'une attaque sur l'une de ses solutions, Kaseya VSA. Celle-ci permet à ses utilisateurs de déployer des mises à jour et de surveiller les systèmes informatiques de leurs clients à distance.

Cependant, une vulnérabilité était présente sur le système. Celle-ci avait été découverte par le DIVD, l'institut néerlandais pour la divulgation des vulnérabilités, qui avait prévenu l'entreprise. Kaseya était donc en train de la corriger et le patch était même en cours de validation quand REvil, ou l'une de ses filiales, a frappé, exploitant la vulnérabilité zero-day pour mener son attaque. Pour le moment, peu de détails ont été communiqués à propos de cette faille, mis à part le fait qu'elle était assez facile à exploiter.

Grâce à elle, le groupe de hackers a pu distribuer des fichiers malveillants sous couvert d'une mise à jour automatique de Kaseya VSA et propager le ransomware aux MSP utilisant la solution, mais aussi à leurs clients. Il n'est pas possible pour le moment de savoir précisément combien d'entreprises ont été touchées par cette attaque, mais il était estimé vendredi que plus de 1 000 d'entre elles ont vu leurs fichiers être chiffrés tandis que REvil avance le nombre d'un million sur son site.

Des milliers d'entreprises touchées et des conséquences immédiates

Les conséquences se sont vite fait sentir, par exemple en Suède où la chaîne de supermarchés Coop a dû fermer 500 de ses 800 magasins à cause d'une indisponibilité de ses caisses suite à l'attaque qui visait son fournisseur, Visma Esscom. En Allemagne, une entreprise de services informatiques a déclaré que plusieurs milliers de ses clients avaient été compromis et aux Pays-Bas, deux grosses entreprises de services informatiques faisaient partie des victimes.

Toutes les firmes concernées ne l'ont pas déclaré publiquement et il est estimé que des entreprises dans au moins 17 pays sont concernées. Suite à la découverte de l'attaque, Kaseya a expressément demandé à ses clients d'éteindre leurs serveurs VSA et a déconnecté ses serveurs SaaS.

Les victimes ont rapidement reçu une demande de rançon de REvil, qui demandait entre 50 000 et 5 millions de dollars en Bitcoin afin de fournir une clé de déchiffrement. Lundi, le gang a décidé de négocier une clé de déchiffrement universelle pour toutes les victimes, demandant 70 millions de dollars en Bitcoin avant de baisser le prix à 50 millions, ce qui pourrait indiquer que le groupe a du mal à gérer les demandes de rançons individuelles à cause de l'ampleur de l'attaque. D'après des communications entre le groupe et une victime rapportées par BleepingComputer, REvil n'aurait cette fois pas utilisé le principe de « double extorsion », qui consiste à voler les données de leurs victimes en plus de chiffrer leurs fichiers.

Le FBI et la CISA (Cybersecurity and Infrastructure Security Agency) ont assuré être en train d'enquêter et ont détaillé les mesures devant être entreprises pour détecter et mitiger l'attaque. De son côté, le président Biden a indiqué que les États-Unis étaient prêts à répondre s'il était révélé que le Kremlin était impliqué.

Modifié le 06/07/2021 à 13h05
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
10
10
Voir tous les messages sur le forum

Lectures liées

PunkSpider, le moteur de recherche de vulnérabilités, refait surface
Un malware récupérant les mots de passe Windows se propage via les pubs des moteurs de recherche
Derrière une jeune femme, Marcella Flores, se cachaient des hackers affiliés à l'Iran
Bon plan antivirus : protégez votre vie numérique avec cette offre de Bitdefender à prix jamais vu !
Pourquoi Apple est-elle impuissante face à des logiciels tels que Pegasus ?
Cyberattaque : la France est dans le viseur de hackers chinois
Profitez des offres VPN à prix bradé du moment
Sauvegarde et anticipation : les clés pour se protéger des ransomwares cet été (Vidéo)
Projet Pegasus : pour Edward Snowden, il faut bannir tous les logiciels d'espionnage
Vous pouvez vérifier si votre mobile a été infecté par le logiciel Pegasus, voici comment !
Haut de page