Échelle, les détails de l’attaque massive du ransomware Kaseya émergent

Échelle, les détails de l'attaque massive du ransomware Kaseya émergent

Cette photo d’archive du 23 février 2019 montre l’intérieur d’un ordinateur à Jersey City, NJ. Les équipes de cybersécurité ont travaillé fébrilement le dimanche 4 juillet 2021 pour endiguer l’impact de la plus grande attaque mondiale de ransomware jamais enregistrée, avec quelques détails sur la façon dont le gang lié à la Russie responsable a violé la société dont le logiciel était le conduit. Vendredi, une filiale du célèbre gang REvil a infecté des milliers de victimes dans au moins 17 pays, principalement par le biais d’entreprises qui gèrent à distance l’infrastructure informatique de plusieurs clients, ont déclaré des chercheurs en cybersécurité. Crédit : AP Photo/Jenny Kane, dossier

Les équipes de cybersécurité ont travaillé fébrilement dimanche pour endiguer l’impact de la plus grande attaque mondiale de ransomware jamais enregistrée, avec quelques détails émergeant sur la façon dont le gang responsable lié à la Russie a violé l’entreprise dont le logiciel était le conduit.

Une filiale du célèbre gang REvil, surtout connue pour avoir extorqué 11 millions de dollars au transformateur de viande JBS après une attaque du Memorial Day, a infecté vendredi des milliers de victimes dans au moins 17 pays, en grande partie par le biais d’entreprises qui gèrent à distance l’infrastructure informatique de plusieurs clients, ont déclaré des chercheurs en cybersécurité.

REvil exigeait des rançons pouvant aller jusqu’à 5 millions de dollars, ont déclaré les chercheurs. Mais dimanche soir, il a proposé dans une publication sur son site Web sombre une clé logicielle de décryptage universelle qui déchiffrerait toutes les machines concernées en échange de 70 millions de dollars en crypto-monnaie.

Plus tôt, le FBI a déclaré dans un communiqué que pendant qu’il enquêtait sur l’attaque, son ampleur « pourrait faire en sorte que nous ne puissions pas répondre à chaque victime individuellement ». La conseillère adjointe à la sécurité nationale, Anne Neuberger, a ensuite publié une déclaration affirmant que le président Joe Biden avait « dirigé toutes les ressources du gouvernement pour enquêter sur cet incident » et a exhorté tous ceux qui pensaient qu’ils étaient compromis à alerter le FBI.

Biden a suggéré samedi que les États-Unis répondraient s’il était déterminé que le Kremlin était impliqué.

Il y a moins d’un mois, Biden a pressé le président russe Vladimir Poutine de cesser de donner refuge à REvil et à d’autres gangs de rançongiciels dont les attaques d’extorsion incessantes que les États-Unis considèrent comme une menace pour la sécurité nationale.

Un large éventail d’entreprises et d’agences publiques ont été touchées par la dernière attaque, apparemment sur tous les continents, y compris dans les services financiers, les voyages et les loisirs et le secteur public, bien que peu de grandes entreprises, a rapporté la société de cybersécurité Sophos. Les criminels ransomware infiltrent les réseaux et sèment des logiciels malveillants qui les paralysent en brouillant toutes leurs données. Les victimes reçoivent une clé de décodeur lorsqu’elles paient.

La chaîne d’épicerie suédoise Coop a déclaré que la plupart de ses 800 magasins seraient fermés pour un deuxième jour dimanche parce que leur fournisseur de logiciels de caisse enregistreuse était paralysé. Une chaîne de pharmacies suédoises, une chaîne de stations-service, le chemin de fer public et le radiodiffuseur public SVT ont également été touchés.

En Allemagne, une société de services informatiques anonyme a déclaré aux autorités que plusieurs milliers de ses clients étaient compromis, a rapporté l’agence de presse dpa. Parmi les victimes signalées figuraient également deux grandes sociétés néerlandaises de services informatiques, VelzArt et Hoppenbrouwer Techniek. La plupart des victimes de rançongiciels ne signalent pas publiquement les attaques et ne divulguent pas si elles ont payé des rançons.

Le PDG Fred Voccola de la société de logiciels violée, Kaseya, a estimé le nombre de victimes à quelques milliers, principalement de petites entreprises comme « des cabinets dentaires, des cabinets d’architecture, des centres de chirurgie plastique, des bibliothèques, des choses comme ça ».

Voccola a déclaré dans une interview que seuls 50 à 60 des 37 000 clients de l’entreprise ont été compromis. Mais 70 % étaient des fournisseurs de services gérés qui utilisent le logiciel VSA piraté de l’entreprise pour gérer plusieurs clients. Il automatise l’installation des mises à jour logicielles et de sécurité et gère les sauvegardes et autres tâches vitales.

Les experts disent que ce n’est pas un hasard si REvil a lancé l’attaque au début du week-end férié du 4 juillet, sachant que les bureaux américains seraient peu dotés en personnel. De nombreuses victimes peuvent ne pas l’apprendre avant de reprendre le travail lundi. La plupart des utilisateurs finaux des fournisseurs de services gérés « n’ont aucune idée » de quels logiciels font bourdonner leurs réseaux, a déclaré Voccola,

Kaseya a déclaré avoir envoyé un outil de détection à près de 900 clients samedi soir.

Échelle, les détails de l'attaque massive du ransomware Kaseya émergent

Ce 23 février 2019, une photo d’archive montre l’intérieur d’un ordinateur à Jersey City, NJ. Une attaque de ransomware a paralysé les réseaux d’au moins 200 entreprises américaines le vendredi 2 juillet 2021, selon un chercheur en cybersécurité dont l’entreprise répondait à la incident. Crédit : AP Photo/Jenny Kane, dossier

L’offre de REvil d’offrir un décryptage global à toutes les victimes de l’attaque Kaseya en échange de 70 millions de dollars suggérait son incapacité à faire face à la grande quantité de réseaux infectés, a déclaré Allan Liska, analyste de la société de cybersécurité Recorded Future. Bien que les analystes aient rapporté avoir vu des demandes de 5 millions de dollars et 500 000 $ pour des cibles plus importantes, il en demandait apparemment 45 000 pour la plupart.

« Cette attaque est beaucoup plus importante que prévu et suscite beaucoup d’attention. Il est dans l’intérêt de REvil d’y mettre fin rapidement », a déclaré Liska. « C’est un cauchemar à gérer. »

L’analyste Brett Callow d’Emsisoft a déclaré qu’il soupçonnait que REvil espère que les assureurs pourraient calculer les chiffres et déterminer que les 70 millions de dollars leur coûteront moins cher qu’un temps d’arrêt prolongé.

Les gangs de ransomware sophistiqués au niveau de REvil examinent généralement les dossiers financiers d’une victime – et les polices d’assurance s’ils peuvent les trouver – à partir des fichiers qu’ils volent avant d’activer le ransomware. Les criminels menacent alors de vider les données volées en ligne à moins qu’ils ne soient payés. Dans cette attaque, cela ne semble pas s’être produit.

Des chercheurs néerlandais ont déclaré avoir alerté Kaseya, basé à Miami, de la violation et ont déclaré que les criminels avaient utilisé un « jour zéro », le terme de l’industrie pour une précédente faille de sécurité inconnue dans un logiciel. Voccola n’a pas confirmé cela ni fourni de détails sur la violation, sauf pour dire qu’il ne s’agissait pas d’hameçonnage.

« Le niveau de sophistication ici était extraordinaire », a-t-il déclaré.

Lorsque la société de cybersécurité Mandiant aura terminé son enquête, Voccola a déclaré qu’il était convaincu que cela montrerait que les criminels n’avaient pas seulement violé le code de Kaseya en pénétrant son réseau, mais avaient également exploité les vulnérabilités de logiciels tiers.

Ce n’était pas la première attaque de ransomware à exploiter les fournisseurs de services gérés. En 2019, des criminels ont entravé les réseaux de 22 municipalités du Texas à travers une. La même année, 400 cabinets dentaires américains ont été paralysés lors d’une attaque distincte.

L’un des chercheurs néerlandais en vulnérabilité, Victor Gevers, a déclaré que son équipe s’inquiétait pour des produits comme le VSA de Kaseya en raison du contrôle total des vastes ressources informatiques qu’ils peuvent offrir. « De plus en plus de produits utilisés pour assurer la sécurité des réseaux présentent des faiblesses structurelles », a-t-il écrit dimanche dans un blog.

La société de cybersécurité ESET a identifié des victimes dans au moins 17 pays, dont le Royaume-Uni, l’Afrique du Sud, le Canada, l’Argentine, le Mexique, l’Indonésie, la Nouvelle-Zélande et le Kenya.

Kaseya affirme que l’attaque n’a affecté que les clients « sur site », les organisations gérant leurs propres centres de données, par opposition à ses services basés sur le cloud qui exécutent des logiciels pour les clients. Cependant, il a également fermé ces serveurs par mesure de précaution.

Kaseya, qui a appelé vendredi les clients à fermer leurs serveurs VSA immédiatement, a déclaré dimanche qu’il espérait disposer d’un correctif dans les prochains jours.

Actif depuis avril 2019, REvil fournit un ransomware-as-a-service, ce qui signifie qu’il développe le logiciel paralysant le réseau et le loue à des soi-disant affiliés qui infectent des cibles et gagnent la part du lion des rançons. Les responsables américains affirment que les gangs de ransomware les plus puissants sont basés en Russie et dans les États alliés et opèrent avec la tolérance du Kremlin et sont parfois de connivence avec les services de sécurité russes.

L’expert en cybersécurité Dmitri Alperovitch du groupe de réflexion Silverado Policy Accelerator a déclaré que bien qu’il ne pense pas que l’attaque de Kaseya soit dirigée par le Kremlin, cela montre que Poutine « n’a pas encore bougé » pour arrêter les cybercriminels.


Une attaque de ransomware avant les vacances laisse les entreprises se démener


© 2021 La Presse Associée. Tous les droits sont réservés. Ce matériel ne peut pas être publié, diffusé, réécrit ou redistribué sans autorisation.

Citation: Échelle, les détails de l’attaque massive du ransomware Kaseya émergent (2021, 5 juillet) récupérés le 5 juillet 2021 à partir de https://techxplore.com/news/2021-07-scale-massive-kaseya-ransomware-emerge.html

Ce document est soumis au droit d’auteur. En dehors de toute utilisation équitable à des fins d’étude ou de recherche privée, aucune partie ne peut être reproduite sans l’autorisation écrite. Le contenu est fourni seulement pour information.