Une soixantaine de clients Kaseya touchés par REvil
3 min readLe nombre de clients de fournisseurs de services gérés (MSP) touchés par un Attaque de ransomware REvil/Sodinokibi orchestré par le produit VSA de Kaseya a été révisé à la hausse d’environ 40 à environ 60.
L’attaque, qui s’est déroulée le 2 juillet, a jusqu’à présent perturbé quelque 1 500 clients en aval, dont beaucoup sont des petites et moyennes entreprises (PME) des MSP concernés.
Dans une nouvelle déclaration libéré au cours des dernières 24 heures, Kaseya a déclaré n’avoir reçu aucun rapport sur d’autres compromis pour les utilisateurs de VSA depuis le 3 juillet et n’avoir trouvé aucune preuve que l’un de ses clients de logiciel en tant que service (SaaS) ait été touché. Il a ajouté que VSA est le seul produit compromis et que tous ses autres services ne sont pas affectés.
« Notre comité exécutif s’est réuni cet après-midi [5 July] à 18h30 HAE [11.30pm BST] pour réinitialiser le calendrier et le processus de remise en ligne de nos clients SaaS et sur site », a déclaré la société.
« Le correctif pour les clients sur site a été développé et est actuellement en cours de test et de validation. Nous nous attendons à ce que le correctif soit disponible dans les 24 heures suivant la mise en service de nos serveurs SaaS. »
Kaseya prévoit actuellement de remettre ses serveurs SaaS en ligne plus tard le 6 juillet entre 19h00 et 22h00, heure du Royaume-Uni, et prendra une décision finale à ce sujet de manière imminente. Il a déclaré qu’il publierait VSA avec des fonctionnalités par étapes pour récupérer les services plus tôt, la première version empêchant l’accès à certaines fonctionnalités pour le moment.
Il a également rencontré les autorités américaines pour discuter des exigences de renforcement du système et du réseau pour les clients SaaS et sur site, et publiera ces exigences, encore une fois, de manière imminente. Il est probable que le correctif devra être installé avant de redémarrer. En attendant, tous les serveurs VSA sur site doivent rester hors ligne.
“Nous avons été informés par nos experts externes que les clients qui ont fait l’expérience d’un ransomware et ont reçu des communications des attaquants ne doivent cliquer sur aucun lien – ils peuvent être armés”, a-t-il ajouté.
Jusqu’à présent, peu de clients MSP touchés se sont identifiés, mais Velzart, un fournisseur de services cloud, informatique et réseau basé aux Pays-Bas, a tenu ses clients informés de l’avancement de sa récupération. via son blog.
À la fin du lundi 6 juillet, la société a annoncé qu’elle avait techniquement réparé 70 % des serveurs concernés et les avait remis à l’usage des clients, et qu’elle prévoyait de restaurer le reste de son parc de serveurs d’ici mercredi. Le cabinet a ensuite remercié ses clients pour leur patience et leur compréhension, ainsi que pour l’assistance technique et même des rafraîchissements.
Alors que de plus en plus d’informations continuent de circuler sur l’attaque, il devient clair que REvil a accédé aux instances sur site du serveur VSA via un zero-day nouvellement découvert – comme précédemment divulgué, probablement une vulnérabilité d’injection SQL – et a livré la charge utile du ransomware une mise à jour automatique déployée déguisée en agent de gestion.
Comme l’a noté Sophos entre autres, cela a donné au gang une couverture supplémentaire pour se faufiler au-delà des défenses en exploitant la confiance des clients dans le produit VSA.