Des opportunistes vus cibler les victimes de Kaseya REvil
3 min readLes opérations de cybercriminalité opportunistes semblent avoir commencé à profiter des plus de 1 000 victimes de l’attaque du ransomware REvil de 70 millions de dollars sur les clients des fournisseurs de services gérés (MSP) de Kaseya, alors que des preuves émergent d’une nouvelle campagne de spam de logiciels malveillants.
Repéré pour la première fois par des chercheurs de Malwarebytes, la campagne, qui a ciblé certaines organisations britanniques, prétend être un correctif pour le produit Kaseya VSA impacté provenant de Microsoft. Il comprend une pièce jointe nommée SecurityUpdates.exe et un lien qui, s’il est cliqué, tombe Frappe au cobalt, pour être utilisé par les attaquants pour accéder au réseau et aux systèmes de leur victime et mener leurs propres attaques, peut-être même en abandonnant d’autres ransomwares.
Alors que l’attaque en cours de Kaseya entre dans son cinquième jour, l’émergence de campagnes parallèles par des acteurs menaçants probablement pas associés au gang REvil et à ses affiliés n’est pas une énorme surprise à voir : les PME clientes en aval des MSP touchés sont considérablement moins susceptibles d’avoir une technologie de sécurité appropriée ou un personnel formé en place pour se protéger, représentent donc une cible facile à certains égards.
Pendant ce temps, Kaseya a commencé le processus de mise en ligne de ses serveurs VSA de logiciel en tant que service (SaaS) le 6 juillet, configurés avec une couche supplémentaire de services de sécurité, mais a suspendu la mise sous tension à 3 heures du matin, heure du Royaume-Uni, le 7 juillet après identifier un problème technique non divulgué. La société espère être en mesure de fournir un correctif pour les serveurs VSA sur site dans les 24 heures suivant la restauration complète du fonctionnement SaaS, mais il est clair que ce calendrier a maintenant glissé.
Les nouvelles mesures de sécurité qu’il ajoute comprennent : la mise à disposition d’un service indépendant 24h/24 et 7j/7 centre des opérations de sécurité (SOC) pour chaque serveur VSA ; un complément réseau de diffusion de contenu (CDN) avec Firewall d’applications Web (WAF) pour chaque serveur VSA, y compris pour les utilisateurs sur site qui souhaitent s’inscrire ; et de nouvelles exigences concernant la liste blanche des adresses IP pour les clients qui le font. Kaseya a déclaré que cela réduirait considérablement le service d’attaque global auquel VSA est exposé.
Dans une vidéo nouvellement enregistrée, le PDG de Kaseya, Fred Voccola, a déclaré que la société était « incroyablement conservatrice » quant au calendrier de restauration du service.
Il a de nouveau révisé le nombre de MSP impactés à environ 50, environ 10 de moins que précédemment indiqué. Il a déclaré que l’attaque avait été “très bien gérée” par la nature modulaire de l’architecture de sécurité de Kaseya, qui l’a empêchée de se propager au-delà de VSA, et par l’équipe de réponse rapide de l’entreprise et le soutien des forces de l’ordre externes, du gouvernement américain et des cyber-enquêteurs.
Voccola a également remercié certains des concurrents de l’entreprise pour leurs offres d’aide et a promis que les membres du personnel de Kaseya, dont certains, selon lui, ont dormi environ quatre heures depuis le 3 juillet, resteront à leur poste jusqu’à ce que « tout soit aussi parfait que possible ». .
« Quand quelque chose se produit, cela dépend du degré de préparation de l’organisation, de la rapidité avec laquelle l’organisation doit admettre que quelque chose s’est passé et ne pas essayer de le cacher, demander de l’aide aux gens et essayer de se concentrer sur les clients et d’obtenir des informations d’eux », a-t-il déclaré. mentionné.
“Nous le faisons du mieux que nous pouvons, nous le faisons avec les conseils des meilleures personnes au monde, et notre engagement est que nous continuerons à le faire.”
Voccola a précédemment refusé de dire si Kaseya avait entamé des négociations avec REvil ou s’il prévoyait de payer une rançon au gang, qui, comme indiqué précédemment, est souvent disposé à négocier des paiements sensiblement inférieurs.