Kaseya : que faut-il savoir sur le ransomware qui se propage massivement ?

06 juillet 2021 à 13h05
10
ransomware © Kaspersky

Vendredi, de nombreuses entreprises ont eu une mauvaise surprise : elles ont été victimes d'un ransomware à travers une attaque dirigée contre Kaseya.

Cette attaque a pu être possible à cause d'une faille zero-day présente dans Kaseya VSA, qui a été exploitée par REvil et a permis la propagation rapide du ransomware à des MSP (Managed Services Providers) et leurs clients.

Une vulnérabilité zero-day sur le point d'être corrigée

Kaseya développe des solutions et des services à destination des fournisseurs de services managés (MSP). Vendredi, alors que la plupart des Américains se préparaient à célébrer le week-end du 4 juillet, l'entreprise a été victime d'une attaque sur l'une de ses solutions, Kaseya VSA. Celle-ci permet à ses utilisateurs de déployer des mises à jour et de surveiller les systèmes informatiques de leurs clients à distance.

Cependant, une vulnérabilité était présente sur le système. Celle-ci avait été découverte par le DIVD, l'institut néerlandais pour la divulgation des vulnérabilités, qui avait prévenu l'entreprise. Kaseya était donc en train de la corriger et le patch était même en cours de validation quand REvil, ou l'une de ses filiales, a frappé, exploitant la vulnérabilité zero-day pour mener son attaque. Pour le moment, peu de détails ont été communiqués à propos de cette faille, mis à part le fait qu'elle était assez facile à exploiter.

Grâce à elle, le groupe de hackers a pu distribuer des fichiers malveillants sous couvert d'une mise à jour automatique de Kaseya VSA et propager le ransomware aux MSP utilisant la solution, mais aussi à leurs clients. Il n'est pas possible pour le moment de savoir précisément combien d'entreprises ont été touchées par cette attaque, mais il était estimé vendredi que plus de 1 000 d'entre elles ont vu leurs fichiers être chiffrés tandis que REvil avance le nombre d'un million sur son site.

Des milliers d'entreprises touchées et des conséquences immédiates

Les conséquences se sont vite fait sentir, par exemple en Suède où la chaîne de supermarchés Coop a dû fermer 500 de ses 800 magasins à cause d'une indisponibilité de ses caisses suite à l'attaque qui visait son fournisseur, Visma Esscom. En Allemagne, une entreprise de services informatiques a déclaré que plusieurs milliers de ses clients avaient été compromis et aux Pays-Bas, deux grosses entreprises de services informatiques faisaient partie des victimes.

Toutes les firmes concernées ne l'ont pas déclaré publiquement et il est estimé que des entreprises dans au moins 17 pays sont concernées. Suite à la découverte de l'attaque, Kaseya a expressément demandé à ses clients d'éteindre leurs serveurs VSA et a déconnecté ses serveurs SaaS.

Les victimes ont rapidement reçu une demande de rançon de REvil, qui demandait entre 50 000 et 5 millions de dollars en Bitcoin afin de fournir une clé de déchiffrement. Lundi, le gang a décidé de négocier une clé de déchiffrement universelle pour toutes les victimes, demandant 70 millions de dollars en Bitcoin avant de baisser le prix à 50 millions, ce qui pourrait indiquer que le groupe a du mal à gérer les demandes de rançons individuelles à cause de l'ampleur de l'attaque. D'après des communications entre le groupe et une victime rapportées par BleepingComputer, REvil n'aurait cette fois pas utilisé le principe de « double extorsion », qui consiste à voler les données de leurs victimes en plus de chiffrer leurs fichiers.

Le FBI et la CISA (Cybersecurity and Infrastructure Security Agency) ont assuré être en train d'enquêter et ont détaillé les mesures devant être entreprises pour détecter et mitiger l'attaque. De son côté, le président Biden a indiqué que les États-Unis étaient prêts à répondre s'il était révélé que le Kremlin était impliqué.

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
10
10
DarkStarOne
Et le Kremlin a indiqué que la Russie était prête à répondre s’il était révélé que Biden était impliqué…
nicgrover
Xi Ping quant à lui ne se prononce pas…
Cynian90
Et le gentil héros dans l’histoire, c’est le DIVD qui a donné la faille aux hackeurs avant que l’entreprise n’ait pu la patcher :<br /> «&nbsp;Eh regardez, j’ai trouvé un passage secret vers les tunnels oú des juifs se cachent, je leur laisse quand même trois jours pour combler le trou puis je vais afficher ça sur la place publique devant l’officine nazi avec mon nom en gras en bas de la page&nbsp;».<br /> Quelqu’un pour retracer l’émergence de cette culture du on doit dévoiler la faille au publique à tout prix ?
leaskim
Simple: sans ça les entreprises ne patchent jamais.
ARTUSA
Statistiquement parlant, en faisant ça on augmente pas justement les probabilités que la faille se fasse exploiter ? On rendrait pas le monde un peu plus pire à chaque fois qu’on dévoile une faille de cette manière ? On peut penser à toutes ces failles découvertes sur des anciennes versions de Windows et qui touchent des millions de machines à travers le monde, surexploitées dès qu’elles sont rendues publiques, tout ça pour rendre le labo ou la personne qui les a trouvé temporairement célèbres (parfois dans leur petite marre des spécialistes de sécurité), ça fait quand même beaucoup plus opportuniste que héros.
max_971
Il faut que les entreprises prévoient un plan B et C, maintenant.
bmustang
plan B on ferme la boite parce que pas de sauvegardes et plan C on licencie tout le monde
Voir tous les messages sur le forum

Derniers actualités

Des nouveautés pour vos montres sous Wear OS, dont la possibilité d'utiliser Google Maps en mode hors ligne
Prix incroyable pour cette TV de 65
Le microphone HyperX est à moins de 40€ aujourd'hui chez Amazon
L'incroyable tablette Samsung Galaxy Tab S8 Ultra est à moins 20% !
Vous cherchez un smartphone à petit prix ? Vous êtes au bon endroit
Au Nebraska, Facebook transmet à la police les messages privés d'une jeune fille suspectée d’avortement illégal
Avec ce code promo ce PC portable devient encore moins cher
Voilà un prix plus qu'intéressant pour ce SSD Crucial de 1To
Le clavier sans fil Logitech POP Keys profite d'une belle promotion en ce moment
L'offre de RED sur son forfait mobile 80Go est toujours disponible !
Haut de page