Les dommages aux États-Unis semblent minimes dans une grande attaque de ransomware

Biden: les dommages américains semblent minimes dans une grande attaque de ransomware

Un panneau indiquant : « Le supermarché Coop Forum de Vastberga est fermé en raison de perturbations informatiques, aucun pronostic quant à la date de réouverture », sur un supermarché Coop fermé dans la banlieue de Vastberga, Stockholm, Suède, samedi 3 juillet 2021 Les équipes de cybersécurité ont travaillé fébrilement le dimanche 4 juillet 2021 pour endiguer l’impact de la plus grande attaque mondiale de ransomware jamais enregistrée, avec quelques détails émergeant sur la façon dont le gang responsable de la Russie a violé l’entreprise dont le logiciel était le conduit. La chaîne d’épicerie suédoise Coop a déclaré que la plupart de ses 800 magasins seraient fermés pour un deuxième jour dimanche parce que leur fournisseur de logiciels de caisse enregistreuse était paralysé. Crédit : Jonas Ekstromer/TT via AP, fichier

Le président Joe Biden a déclaré mardi que les dommages causés aux entreprises américaines par la plus grande attaque de ransomware jamais enregistrée semblaient minimes, bien que les informations soient restées incomplètes. La société dont le logiciel a été exploité a déclaré que moins de 1 500 entreprises dans le monde semblaient compromises, mais les experts en cybersécurité préviennent que l’incident n’est pas terminé.

Mardi également, un chercheur en sécurité qui a discuté en ligne avec des représentants du gang REvil lié à la Russie à l’origine de l’attaque a déclaré avoir prétendu avoir volé des données à des centaines d’entreprises, mais n’a fourni aucune preuve.

Répondant à une question d’un journaliste lors d’un événement à la Maison Blanche lié aux vaccins, Biden a déclaré que son équipe de sécurité nationale l’avait informé mardi matin de l’attaque, qui exploitait un puissant outil de gestion à distance géré par la société de logiciels basée à Miami Kaseya dans ce qu’on appelle un attaque de la chaîne d’approvisionnement.

« Cela semble avoir causé des dommages minimes aux entreprises américaines, mais nous collectons toujours des informations », a déclaré Biden. « Et je vais avoir plus à dire à ce sujet dans les prochains jours. » Un responsable de la Cybersecurity and Infrastructure Security Agency, s’exprimant à condition qu’ils ne soient plus identifiés, a déclaré qu’aucune agence fédérale ou infrastructure critique ne semble avoir été touchée.

Mercredi, Biden et la vice-présidente Kamala Harris dirigeront une réunion interagences pour discuter des efforts de l’administration pour contrer les ransomwares.

La porte-parole de la Maison Blanche, Jen Psaki, a évoqué la perspective de représailles. Ce que Biden a déclaré au président Vladimir Poutine à Genève le mois dernier est toujours valable, elle a déclaré: « Si le gouvernement russe ne peut pas ou ne veut pas prendre de mesures contre les acteurs criminels résidant en Russie, nous prendrons des mesures ou nous nous réservons le droit de prendre des mesures par nous-mêmes. « 

Le type d’action que ce serait n’est pas clair.

Biden a répété à plusieurs reprises que le Kremlin est responsable de donner refuge aux criminels ransomware, même s’il n’est pas directement impliqué. Rien n’indique que Poutine ait agi contre les gangs. Psaki a déclaré que les représentants russes et américains se réunissaient la semaine prochaine et discuteraient de la question.

Soulignant davantage les enjeux géopolitiques du cyberespace, le Comité national républicain a déclaré mardi qu’il avait été informé ce week-end qu’un de ses sous-traitants avait été violé, bien qu’il ne soit pas immédiatement clair par qui. Le RNC a déclaré qu’aucune donnée n’avait été consultée.

Biden: les dommages américains semblent minimes dans une grande attaque de ransomware

Sur cette photo d’archive du 3 juillet 2021, un panneau indique :  » Temporairement fermé. Nous avons un problème informatique et nos systèmes ne fonctionnent pas « , affiché dans la vitrine d’un supermarché Coop fermé à Stockholm, en Suède. Les équipes de cybersécurité ont travaillé fébrilement le dimanche 4 juillet 2021 pour endiguer l’impact de la plus grande attaque mondiale de ransomware jamais enregistrée, avec quelques détails sur la façon dont le gang responsable de la Russie a violé la société dont le logiciel était le conduit. La chaîne d’épicerie suédoise Coop a déclaré que la plupart de ses 800 magasins seraient fermés pour un deuxième jour dimanche parce que leur fournisseur de logiciels de caisse enregistreuse était paralysé. Crédit : Ali Lorestani/TT via AP, fichier

L’entrepreneur, Synnex, a initialement déclaré que l’action « pourrait potentiellement être liée aux récentes attaques de cybersécurité des fournisseurs de services gérés », une référence probable aux violations de la semaine dernière. Mais il s’est éloigné de cette affirmation dans une deuxième déclaration mardi soir.

L’attaque de vendredi a entravé les entreprises dans au moins 17 pays. Il a fermé la plupart des 800 supermarchés de la chaîne suédoise Coop au cours du week-end parce que les caisses enregistreuses ont cessé de fonctionner et aurait mis hors ligne plus de 100 jardins d’enfants néo-zélandais.

Kaseya a déclaré qu’il pensait que seulement 800 à 1 500 des 800 000 à 1 000 000 d’utilisateurs finaux estimés de son logiciel, principalement des petites entreprises, ont été touchés. Ce sont des clients d’entreprises qui utilisent le produit d’administrateur de système virtuel de Kaseya, ou VSA, pour gérer entièrement leur infrastructure informatique.

Les experts en cybersécurité ont toutefois déclaré qu’il était trop tôt pour que Kaseya connaisse le véritable impact compte tenu de son lancement à la veille du week-end férié du 4 juillet aux États-Unis. Ils ont déclaré que de nombreuses cibles pourraient ne le découvrir qu’à leur retour au travail mardi.

Les criminels ransomware infiltrent les réseaux et sèment des logiciels malveillants qui les paralysent en brouillant toutes leurs données. Les victimes reçoivent une clé de décodeur lorsqu’elles paient. La plupart des victimes de rançongiciels ne signalent pas publiquement les attaques et ne divulguent pas si elles ont payé des rançons. Aux États-Unis, la divulgation d’une violation est requise par les lois des États lorsque des données personnelles pouvant être utilisées dans le cadre d’un vol d’identité sont volées. La loi fédérale l’exige lorsque les dossiers médicaux sont exposés.

Des chercheurs en sécurité ont déclaré que lors de cette attaque, les criminels ne semblaient pas avoir eu le temps de voler des données avant de verrouiller les réseaux. Cela a soulevé la question de savoir si la motivation derrière l’attaque était uniquement le profit, car l’extorsion en menaçant d’exposer des données sensibles volées améliore les chances de gros gains.

Mais Ryan Sherstobitoff, chef du renseignement sur les menaces de la société de cybersécurité Security Scorecard, a déclaré que les représentants de REvil ont affirmé samedi avoir volé des données à des centaines d’entreprises et menaçaient de les vendre si une rançon allant jusqu’à 5 millions de dollars pour les plus grosses victimes – ils cherchaient 45 000 $ par ordinateur infecté – n’ont pas été satisfaits.

« Les opérateurs prétendent cela, bien qu’il n’y ait pas nécessairement de preuves directes », a ajouté Sherstobitoff, qui a déclaré s’être fait passer pour une victime pour engager les criminels. Il a déclaré que les criminels ont affirmé que les banques faisaient partie des victimes.

REvil a proposé un décodeur logiciel universel pour libérer toutes les victimes en échange d’un paiement forfaitaire de 50 millions de dollars, a-t-il ajouté. Dimanche, cette somme est passée à 70 millions de dollars dans un article publié sur le site Web sombre des criminels.

Biden: les dommages américains semblent minimes dans une grande attaque de ransomware

Sur cette photo d’archive du 3 juillet 2021, un panneau indique :  » Temporairement fermé. Nous avons un problème informatique et nos systèmes ne fonctionnent pas « , affiché dans la vitrine d’un supermarché Coop fermé à Stockholm, en Suède. Les équipes de cybersécurité ont travaillé fébrilement le dimanche 4 juillet 2021 pour endiguer l’impact de la plus grande attaque mondiale de ransomware jamais enregistrée, avec quelques détails sur la façon dont le gang responsable de la Russie a violé la société dont le logiciel était le conduit. La chaîne d’épicerie suédoise Coop a déclaré que la plupart de ses 800 magasins seraient fermés pour un deuxième jour dimanche parce que leur fournisseur de logiciels de caisse enregistreuse était paralysé. Crédit : Ali Lorestani/TT via AP, fichier

Les analystes disent que le chaos que les criminels ransomware ont provoqué au cours de l’année écoulée – frappant les hôpitaux, les écoles, les gouvernements locaux et d’autres cibles au rythme d’environ un toutes les huit minutes – sert le programme stratégique de Poutine de déstabilisation de l’Occident.

La plupart des plus de 60 clients Kaseya touchés par la porte-parole de la société, Dana Liedholm, sont des fournisseurs de services gérés (MSP), avec plusieurs clients en aval.

« Compte tenu de la relation entre Kaseya et les MSP, il n’est pas clair comment Kaseya connaîtrait le nombre de victimes touchées. Il est cependant impossible que les chiffres soient aussi bas que Kaseya le prétend », a déclaré Jake Williams, directeur technique de la société de cybersécurité BreachQuest. . D’autres chercheurs ont également remis en question la visibilité de Kaseya sur les fournisseurs de services gérés paralysés.

L’outil VSA piraté maintient à distance les réseaux des clients, automatisant la sécurité et d’autres mises à jour logicielles. Essentiellement, un produit conçu pour protéger les réseaux contre les logiciels malveillants a été intelligemment utilisé pour le distribuer.

Dans une interview dimanche, le PDG de Kaseya, Fred Voccola, a estimé le nombre de victimes à « quelques milliers ». L’agence de presse allemande dpa avait rapporté qu’une société allemande de services informatiques anonyme avait déclaré aux autorités que plusieurs milliers de ses clients étaient compromis. Parmi les victimes signalées figuraient également deux sociétés néerlandaises de services informatiques.

Un large éventail d’entreprises et d’agences publiques ont été touchées, apparemment sur tous les continents, y compris dans les services financiers, les voyages et les loisirs et le secteur public, bien que peu de grandes entreprises, a déclaré la société de cybersécurité Sophos.

Liedholm, la porte-parole de Kaseya, a déclaré que la grande majorité des 37 000 clients de la société n’étaient pas affectés et que la société s’attendait à publier un correctif mercredi.

REvil, auparavant mieux connu pour avoir extorqué 11 millions de dollars au géant de la transformation de la viande JBS après l’avoir entravé le jour du Souvenir, a fait irruption dans au moins un serveur Kaseya après avoir identifié une vulnérabilité « jour zéro », ont déclaré des chercheurs en cybersécurité.

Des chercheurs néerlandais ont déclaré avoir alerté Kaseya du jour zéro et d’un certain nombre de « vulnérabilités graves » avant l’attaque. Ni eux ni Kaseya ne diraient combien de temps à l’avance.


Le nombre de victimes dans une attaque de ransomware majeure n’est toujours pas clair


© 2021 La Presse Associée. Tous les droits sont réservés. Ce matériel ne peut pas être publié, diffusé, réécrit ou redistribué sans autorisation.

Citation: Biden: les dommages américains semblent minimes dans une grande attaque de ransomware (2021, 7 juillet) récupéré le 7 juillet 2021 à partir de https://techxplore.com/news/2021-07-biden-minimal-big-ransomware.html

Ce document est soumis au droit d’auteur. En dehors de toute utilisation équitable à des fins d’étude ou de recherche privée, aucune partie ne peut être reproduite sans l’autorisation écrite. Le contenu est fourni seulement pour information.