L’équipe de REvil veut 70 millions de dollars dans le cambriolage du ransomware Kaseya
6 min readPlus de 1 000 organisations différentes à travers le monde – y compris de nombreuses petites et moyennes entreprises (PME) – restent bloquées sur les systèmes informatiques critiques plus de 48 heures après un REvil/Sodinokibi attaque de ransomware contre les fournisseurs de services informatiques gérés (MSP) orchestrée via une compromission du service de gestion des points de terminaison VSA et de surveillance du réseau de Kaseya.
L’attaque de la chaîne d’approvisionnement s’est déroulée le vendredi 2 juillet avant le week-end férié du 4 juillet aux États-Unis. À partir de 4 heures du matin, heure du Royaume-Uni, le lundi 5 juillet, les centres de données SaaS (Software-as-a-Service) VSA de Kaseya et les serveurs sur site des clients concernés sont restés hors ligne avec pour objectif actuel de redémarrer les centres de données dans les prochaines 24 heures, après quoi Kaseya commencera le processus de planification des correctifs pour clients sur site.
Environ une heure plus tôt, les opérateurs de REvil ont revendiqué le mérite de l’attaque dans un avis publié sur leur site Web sombre, connu sous le nom de Happy Blog. Le gang a déclaré avoir infecté un million de systèmes et demandé une rançon de 70 millions de dollars en bitcoins pour fournir un décrypteur universel. Il a déclaré que cela permettrait à tout le monde de retrouver l’accès à leurs systèmes et données en moins d’une heure, bien qu’il soit hautement improbable que le processus soit aussi fluide. Si elle est payée, la rançon serait probablement la plus grosse somme jamais extorquée par une équipe de ransomware.
Chercheurs de la PME cyberspécialiste Huntress – l’un des premiers intervenants «sur place» vendredi soir – dit qu’ils suivent actuellement 30 MSP aux États-Unis, en Australie, en Europe et en Amérique latine qui ont été victimes de l’attaque. Ils ont déclaré avoir confirmé que REvil avait accédé au service VSA de Kaseya en exploitant une vulnérabilité d’injection SQL et sont convaincus qu’ils ont utilisé un contournement d’authentification pour accéder aux serveurs.
L’attaque a également attiré une attention de haut niveau, avec des alertes de diverses agences gouvernementales dans le monde, tandis que le président américain Joe Biden, qui a récemment taclé Vladimir Poutine sur le fait que les gangs de ransomware sont apparemment autorisés à opérer depuis la Russie en toute impunité, a annoncé une enquête.
Le timing est tout
Point de contrôle Ian Porteous, directeur régional de l’ingénierie de sécurité pour le Royaume-Uni et l’Irlande, a déclaré que le moment où l’attaque coïnciderait avec une fête majeure aux États-Unis était un choix clair de REvil. “Ils ont choisi le week-end car ils savent que le personnel informatique de l’entreprise est déconnecté et que les entreprises sont souvent dans une équipe réduite, où les yeux ne regardent pas”, a-t-il déclaré.
« Cela aide les acteurs de la menace de plusieurs manières – cela permet au ransomware d’être entièrement déployé avant que quiconque ne le remarque et cela induit plus de panique pendant les opérations de réponse si les acteurs clés de l’environnement des victimes ne sont pas disponibles pour répondre, augmentant éventuellement les chances qu’une rançon la demande sera payée.
Dommage collatéral
En conséquence, il est également probable que de nombreuses organisations viennent de découvrir, ou sont sur le point de découvrir, qu’elles sont devenues des dommages collatéraux d’une attaque qui n’a ciblé qu’un petit nombre de MSP, de sorte que le nombre réel d’entreprises touchées augmentera presque inévitablement par rapport à l’estimation actuelle d’environ 1 000.
Parmi les entreprises qui se sont déjà manifestées, Chaîne de supermarchés suédoise Coop, qui n’est pas lui-même un client Kaseya. La chaîne a été forcée de fermer des centaines de succursales à travers la Suède après la défaillance de ses systèmes de point de vente lorsque son fournisseur de logiciels a été éliminé lors de l’attaque. À un moment donné, certains points de vente de la chaîne ont été vus donner gratuitement des produits frais pour éviter le gaspillage.
Complexité informatique
Charl van der Walt, responsable de la recherche en sécurité à Cyberdéfense Orange, a déclaré que l’attaque de Kaseya était la conséquence de plusieurs facteurs divers qui, collectivement, font de tels incidents une quasi-inévitabilité. Parmi ceux-ci, a-t-il déclaré, le plus important est l’interdépendance informatique – les systèmes informatiques et leurs utilisateurs ne fonctionnent pas de manière isolée et, par conséquent, les violations ou les compromis dans de tels cas ne sont jamais limités à la cible principale – dans ce cas, les clients de Kaseya.
“Nous ne pouvons tout simplement pas nous permettre de considérer notre propre sécurité comme isolée ou séparée de la sécurité de nos fournisseurs de produits ou de services technologiques, ou de la myriade d’autres entités commerciales ou agences gouvernementales avec lesquelles nous partageons la technologie”, a déclaré van der Walt. « Une dépendance partagée vis-à-vis des technologies de base, des fournisseurs, des protocoles ou des systèmes Internet de base tels que DNS ou CDN lie les entreprises entre elles aussi étroitement que les liaisons fibre optique et les réseaux IP. Les entreprises, à leur tour, rassemblent également les fournisseurs qui dépendent d’elles, les industries auxquelles elles appartiennent, les pays dans lesquels elles opèrent et, éventuellement, l’ensemble de l’économie mondiale.
« De par leur nature même, les attaques de la chaîne d’approvisionnement offrent à l’attaquant une vaste portée et une vaste échelle, même si leur perpétration nécessite plus de ressources et de temps. La fréquence de ces attaques n’est donc pas aussi importante que leur impact. Compte tenu de la persistance des forces systémiques qui permettent ces attaques, nous prévoyons qu’elles augmenteront à la fois en fréquence et en impact. »
Hitesh Sheth, président et chef de la direction de Vectra IA, a déclaré qu’il espérait que l’attaque susciterait une discussion sur les problèmes de cybersécurité qui entravent le modèle commercial des services informatiques. « Lorsque votre entreprise s’appuie sur un produit comme Kaseya VSA, vous êtes aussi sûr que votre fournisseur », a-t-il déclaré. « Lorsque de plus en plus d’entreprises externalisent des fonctionnalités critiques vers le cloud, le cas Kaseya suggère un risque accru.
« Dans quelle mesure ces entreprises comprennent-elles vraiment la position de sécurité de leurs fournisseurs ? L’accent est-il suffisamment mis sur la détection rapide des attaques ? Les réponses comptent autant pour les clients que pour les MSP eux-mêmes, car en cas de défaillance de la sécurité, ce sont les clients qui répondent aux demandes de rançon.
Un avertissement de l’histoire récente
Plus largement, a déclaré Sheth, l’attaque a étendu un schéma clair selon lequel les entreprises ont été “trop lentes à reconnaître”.
“Comme dans l’incident de SolarWinds, REvil a infiltré un fournisseur de services connecté à une longue liste de cibles », a-t-il déclaré. « C’est un moyen efficace d’infliger plusieurs groupes de dégâts en un seul coup. Parce que SolarWinds a connu un tel succès, nous aurions dû voir une rediffusion arriver.
« Cela fait plus de six mois que l’affaire SolarWinds a été découverte. Depuis lors, combien d’audits de sécurité systématiques ont eu lieu auprès des fournisseurs de services gérés et des fournisseurs de SaaS ? Lors d’une cyberattaque réussie, ces organisations deviennent, à leur insu, des centres de distribution qui font des ravages. Chaque incident comme celui-ci enseigne une leçon – mais nous devons être à l’écoute. »
Ferme-le
En attendant, dans le cas très improbable où votre organisation exécuterait Kaseya VSA, elle devrait être arrêtée dès maintenant, bien qu’il soit probablement trop tard, a déclaré Porteous, qui a ajouté : « Utilisez EDR, NDR et d’autres outils de surveillance de la sécurité pour vérifier la légitimité de tout nouveau dossier dans l’environnement depuis le 2 juillet ; vérifiez auprès des fournisseurs de produits de sécurité pour vérifier que les protections sont en place pour le ransomware REvil ; et si de l’aide est nécessaire, faites appel à une équipe d’experts pour aider à vérifier la situation dans l’environnement.