Kaseya s’excuse pour le temps d’arrêt prolongé après une attaque de rançon
4 min readLe PDG de Kaseya, Kevin Voccola, s’est excusé auprès des milliers d’utilisateurs de l’entreprise actuellement incapables de desservir leur propre clientèle alors que les instances hébergées et sur site de son point de terminaison VSA et de son service de gestion de réseau restent hors ligne. suite à une attaque de ransomware dévastatrice par le syndicat REvil/Sodinokibi.
L’entreprise avait espéré remettre ses centres de données de logiciel en tant que service (SaaS) en ligne il y a plus de 24 heures, mais des problèmes techniques ont forcé cette chronologie à être réinitialisée et les versions sur site de VSA ne peuvent pas être redémarrées avant la version SaaS. est opérationnel. En attendant, Kaseya a publié un runbook pour les clients sur site pour les aider à se préparer à redémarrer.
« Cela a été de très longs cinq jours pour tout le monde, et je tiens à exprimer mes sincères excuses pour le fait que vous n’êtes pas au courant de VSA, que VSA ne soit pas accessible pour que vous puissiez servir vos clients, servir vos informaticiens internes, et pour vous faciliter la vie », a déclaré Voccola. « Je reconnais… ça craint. Nous prenons cela très au sérieux.
“Le fait que nous ayons dû supprimer VSA a été très décevant pour moi… J’ai l’impression d’avoir laissé tomber cette communauté, j’ai laissé tomber mon entreprise, notre entreprise vous a laissé tomber”, a-t-il déclaré.
“La nouvelle heure de sortie, dans laquelle nous sommes très confiants, sera ce dimanche [11 July] en début d’après-midi, heure normale de l’Est », a ajouté Voccola.
Voccola a déclaré qu’il assumait la responsabilité d’avoir retiré la sortie prévue cette semaine et l’a décrite comme la décision la plus difficile qu’il ait eu à prendre dans sa carrière.
Il a déclaré que les équipes de Kaseya avaient verrouillé les vulnérabilités exploitées dans l’attaque et se sentaient à l’aise avec la publication, mais, sur les conseils de cyber-consultants tiers et des propres ingénieurs de Kaseya, ils voulaient prendre le temps de mettre en place des protections supplémentaires et de renforcer VSA. autant que possible.
Kaseya a été abattu en fin de journée le vendredi 2 juillet par le gang REvil, avant un week-end férié pour la société américaine.
Entre 50 et 60 de ses les clients des fournisseurs de services gérés (MSP) ont été touchés, l’impact cumulatif s’étendant à des milliers d’entreprises en aval, dont beaucoup sont de petite taille, qui dépendent du canal informatique pour leurs ressources technologiques.
Plus particulièrement, la chaîne de supermarchés suédoise Coop a été contrainte de fermer des centaines de magasins en raison de la déconnexion de ses systèmes de paiement.
Les opérateurs de ransomware ont demandé 70 millions de dollars pour une clé de déchiffrement principale et des sommes bien moindres aux victimes individuelles (voir l’image), mais Voccola a fait entendre sa voix dans son refus de négocier avec les criminels. On ne sait pas si l’une des autres entreprises concernées a entamé des négociations.
Au cours des dernières 24 heures, plus de détails ont commencé à émerger via l’Institut néerlandais pour la divulgation des vulnérabilités (DIVD) des vulnérabilités précises exploitées par REvil.
DIVD a expliqué que l’organisation avait beaucoup travaillé dans les coulisses sur sept vulnérabilités et expositions communes (CVE) nouvellement découvertes dans le produit VSA depuis le 6 avril.
Ceux-ci sont CVE-2021-30116, une fuite d’informations d’identification et une faille de logique métier ; CVE-2021-30117, une vulnérabilité d’injection SQL ; CVE-2021-30118, une vulnérabilité d’exécution de code à distance (RCE) ; CVE-2021-30119, une vulnérabilité de script intersite (XSS) ; CVE-2021-30120, un contournement d’authentification à deux facteurs (2FA) ; CVE-2021-30121, une vulnérabilité d’inclusion de fichier local ; et CVE-2021-30201, une vulnérabilité d’entité externe XML.
Parmi ceux-ci, 30117, 30118, 30121 et 30201 ont été résolus dans les correctifs précédents, d’où l’on peut désormais déduire que REvil a utilisé un ou plusieurs des 30116, 30119 et 30120 pour accéder aux systèmes cibles.
Président de la DIVD, Victor Gevers, a déclaré que, tout au long du processus, Kaseya avait montré qu’elle était prête à déployer un maximum d’efforts et d’initiatives pour résoudre le problème et corriger ses clients.
“[Kaseya] a montré un véritable engagement à faire la bonne chose », a-t-il déclaré. “Malheureusement, nous avons été battus par REvil dans le sprint final, car ils pouvaient exploiter les vulnérabilités avant même que les clients ne puissent corriger.”