Vendredi, de nombreuses entreprises ont eu une mauvaise surprise : elles ont été victimes d'un ransomware à travers une attaque dirigée contre Kaseya.
Cette attaque a pu être possible à cause d'une faille zero-day présente dans Kaseya VSA, qui a été exploitée par REvil et a permis la propagation rapide du ransomware à des MSP (Managed Services Providers) et leurs clients.
Une vulnérabilité zero-day sur le point d'être corrigée
Kaseya développe des solutions et des services à destination des fournisseurs de services managés (MSP). Vendredi, alors que la plupart des Américains se préparaient à célébrer le week-end du 4 juillet, l'entreprise a été victime d'une attaque sur l'une de ses solutions, Kaseya VSA. Celle-ci permet à ses utilisateurs de déployer des mises à jour et de surveiller les systèmes informatiques de leurs clients à distance.
Cependant, une vulnérabilité était présente sur le système. Celle-ci avait été découverte par le DIVD, l'institut néerlandais pour la divulgation des vulnérabilités, qui avait prévenu l'entreprise. Kaseya était donc en train de la corriger et le patch était même en cours de validation quand REvil, ou l'une de ses filiales, a frappé, exploitant la vulnérabilité zero-day pour mener son attaque. Pour le moment, peu de détails ont été communiqués à propos de cette faille, mis à part le fait qu'elle était assez facile à exploiter.
Grâce à elle, le groupe de hackers a pu distribuer des fichiers malveillants sous couvert d'une mise à jour automatique de Kaseya VSA et propager le ransomware aux MSP utilisant la solution, mais aussi à leurs clients. Il n'est pas possible pour le moment de savoir précisément combien d'entreprises ont été touchées par cette attaque, mais il était estimé vendredi que plus de 1 000 d'entre elles ont vu leurs fichiers être chiffrés tandis que REvil avance le nombre d'un million sur son site.
Des milliers d'entreprises touchées et des conséquences immédiates
Les conséquences se sont vite fait sentir, par exemple en Suède où la chaîne de supermarchés Coop a dû fermer 500 de ses 800 magasins à cause d'une indisponibilité de ses caisses suite à l'attaque qui visait son fournisseur, Visma Esscom. En Allemagne, une entreprise de services informatiques a déclaré que plusieurs milliers de ses clients avaient été compromis et aux Pays-Bas, deux grosses entreprises de services informatiques faisaient partie des victimes.
Toutes les firmes concernées ne l'ont pas déclaré publiquement et il est estimé que des entreprises dans au moins 17 pays sont concernées. Suite à la découverte de l'attaque, Kaseya a expressément demandé à ses clients d'éteindre leurs serveurs VSA et a déconnecté ses serveurs SaaS.
Les victimes ont rapidement reçu une demande de rançon de REvil, qui demandait entre 50 000 et 5 millions de dollars en Bitcoin afin de fournir une clé de déchiffrement. Lundi, le gang a décidé de négocier une clé de déchiffrement universelle pour toutes les victimes, demandant 70 millions de dollars en Bitcoin avant de baisser le prix à 50 millions, ce qui pourrait indiquer que le groupe a du mal à gérer les demandes de rançons individuelles à cause de l'ampleur de l'attaque. D'après des communications entre le groupe et une victime rapportées par BleepingComputer, REvil n'aurait cette fois pas utilisé le principe de « double extorsion », qui consiste à voler les données de leurs victimes en plus de chiffrer leurs fichiers.
Le FBI et la CISA (Cybersecurity and Infrastructure Security Agency) ont assuré être en train d'enquêter et ont détaillé les mesures devant être entreprises pour détecter et mitiger l'attaque. De son côté, le président Biden a indiqué que les États-Unis étaient prêts à répondre s'il était révélé que le Kremlin était impliqué.
Sources : AP, BleepingComputer
