Le ransomware REvil attaque les systèmes utilisant le logiciel de gestion informatique à distance de Kaseya

Kaseya indique qu’une attaque potentielle a touché un « petit nombre » de clients.

Juste à temps pour gâcher le week-end des vacances, des attaquants de ransomware ont apparemment utilisé Kaseya – une plateforme logicielle conçue pour aider à gérer les services informatiques à distance – pour livrer leur charge utile. Mark Loman, directeur de Sophos et hacker éthique, a parlé de l’attaque sur Twitter vendredi, et a indiqué que les systèmes touchés exigeraient 44 999 dollars pour être déverrouillés. Une note sur le site Web de Kaseya implore les clients de fermer leurs serveurs VSA pour le moment « car l’une des premières choses que fait l’attaquant est de fermer l’accès administratif au VSA ».

Samedi, Kaseya a publié une autre mise à jour, indiquant que ses experts externes lui avaient conseillé que « les clients qui ont été victimes d’un ransomware et qui reçoivent une communication des attaquants ne doivent cliquer sur aucun lien – ils peuvent être armés. »

Selon un rapport de Bleeping Computer, l’attaque a visé six grands MSP et a chiffré les données de pas moins de 200 entreprises.

Sur DoublePulsar, Kevin Beaumont a publié plus de détails sur la façon dont l’attaque semble fonctionner, le ransomware REvil arrivant via une mise à jour de Kaseya et utilisant les privilèges administratifs de la plateforme pour infecter les systèmes. Une fois les fournisseurs de services gérés infectés, leurs systèmes peuvent attaquer les clients auxquels ils fournissent des services informatiques à distance (gestion du réseau, mises à jour du système et sauvegardes, entre autres).

Dans un communiqué, Kaseya a déclaré à The Verge que « Nous enquêtons sur une attaque potentielle contre le VSA qui indique avoir été limitée à un petit nombre de nos clients sur site uniquement. » Un avis indique que tous ses serveurs cloud sont désormais en « mode maintenance », une mesure qui, selon le porte-parole, est prise par « excès de prudence ».

Plus tard dans la soirée de vendredi, le PDG de Kaseya, Fred Voccola, a publié une déclaration indiquant qu’ils estimaient à moins de 40 le nombre de MSP touchés et qu’ils préparaient un correctif pour atténuer la vulnérabilité.

« Alors que nos premiers indicateurs suggéraient que seul un très petit nombre de clients sur site était affecté, nous avons adopté une approche conservatrice en fermant les serveurs SaaS pour nous assurer que nous protégions nos plus de 36 000 clients au mieux de nos capacités », a déclaré Voccola dans la déclaration, ajoutant que les clients SaaS de la société n’ont jamais été en danger, et réitérant que « seul un très petit pourcentage de nos clients a été affecté ».

Samedi, Bloomberg a rapporté que l’attaque touchait plus de 1 000 entreprises par effet de ricochet ; l’attaque s’est concentrée sur les fournisseurs de services gérés, mais ces fournisseurs offrent des services informatiques à d’autres entreprises qui peuvent maintenant être touchées également. Une chaîne d’épicerie suédoise a indiqué qu’elle n’avait pas pu ouvrir 800 de ses magasins samedi, l’attaque ayant entraîné un dysfonctionnement de ses caisses enregistreuses, rapporte Bloomberg.

L’attaque a été liée à la célèbre bande de ransomware REvil (déjà liée aux attaques contre Acer et le fournisseur de viande JBS plus tôt cette année), et The Record note que, en rassemblant les incidents sous plus d’un nom, cela pourrait être la troisième fois que le logiciel Kaseya a été un vecteur pour leurs exploits. REvil a déjà été associé à la Russie.

Mais le président Biden a déclaré samedi en fin d’après-midi que le gouvernement américain n’était pas sûr que la Russie soit impliquée dans l’attaque, rapporte le Washington Post. « J’ai demandé à la communauté du renseignement de me donner une vue d’ensemble de ce qui s’est passé, et j’en saurai plus demain, et s’il s’agit d’une connaissance et/ou de conséquences de la Russie, j’ai dit à Poutine que nous répondrons », a-t-il déclaré aux journalistes lors d’un voyage dans le Michigan. M. Biden a ajouté qu’il n’avait pas encore appelé le président russe Vladimir Poutine à ce sujet.

Kaseya a déclaré samedi qu’elle fournirait des mises à jour sur la situation toutes les trois ou quatre heures.

Découvrez ce qu’il faut savoir de Jannah TV, site d’information musulman en vidéo.

Source : theverge.com

Articles Similaires

Avantages et bénéfices d’un disque dur portable

Avantages et bénéfices d’un disque dur portable

Discord : avantages et inconvénients

Discord : avantages et inconvénients

Voici les avantages d’Excel

Voici les avantages d’Excel

Vous cherchez quelqu’un ? Cela vous aidera à trouver leur numéro

Vous cherchez quelqu’un ? Cela vous aidera à trouver leur numéro

No Comment

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.