
Pas moins de 1 500 entreprises dans le monde ont été infectées par des logiciels malveillants hautement destructeurs qui ont d’abord frappé le fabricant de logiciels Kaseya. Dans l’une des pires attaques de rançon de tous les temps, le malware, à son tour, a utilisé cet accès pour faire tomber les clients de Kaseya.
L’attaque a frappé vendredi après-midi à l’approche du week-end de trois jours de la fête de l’indépendance aux États-Unis. Les pirates affiliés à REvil, l’un des gangs les plus acharnés des ransomwares, ont exploité une vulnérabilité zero-day dans le Service de gestion à distance Kaseya VSA, qui, selon la société, est utilisé par 35 000 clients. Les filiales de REvil ont ensuite utilisé leur contrôle de l’infrastructure de Kaseya pour proposer une mise à jour de logiciel malveillant aux clients, qui sont principalement des petites et moyennes entreprises.
Escalade continue
Dans un communiqué publié lundi, Kaseya a déclaré qu’environ 50 de ses clients ont été compromis. À partir de là, selon la société, 800 à 1 500 entreprises gérées par les clients de Kaseya ont été infectées. Le site de REvil sur le dark web a affirmé que plus d’un million de cibles avaient été infectées lors de l’attaque et que le groupe exigeait 70 millions de dollars pour un décrypteur universel.

Le site de REvil avait été mis à jour pour supprimer une image montrant prétendument des disques durs avec 500 Go de données verrouillées. Les groupes de rançongiciels suppriment souvent des informations de leurs sites une fois que les négociations de rançon ont commencé, en signe de bonne foi. Voici à quoi ressemblait l’image auparavant :

Cybereason
« Ce n’est pas un bon signe qu’un gang de ransomware a un jour zéro dans un produit largement utilisé par les fournisseurs de services gérés, et montre l’escalade continue des gangs de ransomware, sur laquelle j’ai déjà écrit », expert en sécurité et chercheur indépendant Kevin Beaumont a écrit.
L’attaque de masse a eu des effets en cascade dans le monde entier. La chaîne de supermarchés suédoise Coop a été mardi essaie toujours de récupérer après avoir fermé environ la moitié de ses 800 magasins parce que les caisses des points de vente et les caisses en libre-service ont cessé de fonctionner. Les écoles et les jardins d’enfants de Nouvelle-Zélande ont également été touchés, de même que certains bureaux de l’administration publique en Roumanie. L’organisme allemand de surveillance de la cybersécurité, BSI, mentionné mardi qu’il était au courant de trois fournisseurs de services informatiques en Allemagne qui ont été touchés. La carte ci-dessous montre où la société de sécurité Kaspersky détecte des infections.

Kaspersky
REvil a acquis la réputation d’être un groupe impitoyable et sophistiqué, même dans les cercles notoirement effrontés des ransomwares. Sa plus récente victime du gros gibier était le géant de l’emballage de viande JBS, qui en juin fermer une grande partie de ses opérations internationales après que le ransomware a paralysé ses processus automatisés. JBS a finalement payé 11 millions de dollars aux affiliés de REvil.
Les victimes précédentes de REvil incluent la multinationale taïwanaise d’électronique Acer en mars ainsi qu’une tentative en avril d’extorquer Apple à la suite d’une attaque contre l’un de ses partenaires commerciaux. REvil est également le groupe qui a piraté Grubman Shire Meiselas & Sacks, le cabinet d’avocats de célébrités qui représentait Lady Gaga, Madonna, U2 et d’autres artistes de premier plan. Lorsque REvil a demandé 21 millions de dollars en échange de la non-publication des données, le cabinet d’avocats aurait offert 365 000 dollars. REvil a répondu en augmentant sa demande à 42 millions de dollars et en publiant plus tard une archive de 2,4 Go contenant des documents juridiques de Lady Gaga.
Parmi les autres victimes de REvil figurent Kenneth Copeland, SoftwareOne, Quest et Travelex.
Précision chirurgicale
L’attaque de ce week-end a été menée avec une précision quasi chirurgicale. Selon Cybereason, les affiliés de REvil ont d’abord eu accès aux environnements ciblés, puis ont utilisé le zero-day dans Kaseya Agent Monitor pour obtenir un contrôle administratif sur le réseau de la cible. Après avoir écrit une charge utile codée en base 64 dans un fichier nommé agent.crt, le compte-gouttes l’a exécutée.
Voici le déroulement de l’attaque :

Cybereason
Le ransomware dropper Agent.exe est signé avec un certificat de confiance Windows qui utilise le nom de titulaire « PB03 TRANSPORT LTD ». En signant numériquement leur malware, les attaquants sont en mesure de supprimer de nombreux avertissements de sécurité qui s’afficheraient autrement lors de son installation. Cybereason a déclaré que le certificat semble avoir été utilisé exclusivement par le malware REvil qui a été déployé lors de cette attaque.
Pour ajouter de la furtivité, les attaquants ont utilisé une technique appelée Chargement latéral des DLL, qui place un fichier DLL malveillant falsifié dans un répertoire WinSxS de Windows afin que le système d’exploitation charge l’usurpation au lieu du fichier légitime. Dans le cas présent, Agent.exe supprime une version obsolète qui est vulnérable au chargement latéral de DLL de « msmpeng.exe », qui est le fichier de l’exécutable Windows Defender.
Une fois exécuté, le malware modifie les paramètres du pare-feu pour permettre la découverte des systèmes Windows locaux. Ensuite, il commence à chiffrer les fichiers sur le système et affiche la note de rançon suivante :

Cybereason
Kaseya a déclaré que toutes les attaques découvertes à ce jour visaient son produit sur site.
“Tous les serveurs VSA sur site doivent continuer à rester hors ligne jusqu’à ce que Kaseya vous indique quand il est sûr de restaurer les opérations”, a déclaré la société dans un communiqué. consultatif. “Un correctif devra être installé avant de redémarrer le VSA et un ensemble de recommandations sur la façon d’augmenter votre niveau de sécurité.”
La société a déclaré n’avoir trouvé aucune preuve que l’un de ses clients cloud ait été compromis.
Les affiliés de REvil ont exploité une vulnérabilité zeroday que Kaseya était à quelques jours de corriger lorsque l’attaque a frappé. CVE-2021-30116, au fur et à mesure que la vulnérabilité était suivie, a été découvert par des chercheurs de l’Institut néerlandais pour la divulgation des vulnérabilités, qui affirme que ses chercheurs avaient signalé en privé la faille de sécurité et surveillaient les progrès de Kaseya dans la correction de celle-ci.
Kaseya “a fait preuve d’un véritable engagement à faire ce qu’il faut”, des représentants de l’institut a écrit. “Malheureusement, nous avons été battus par REvil dans le sprint final, car ils pouvaient exploiter les vulnérabilités avant même que les clients ne puissent corriger.”
L’événement est le dernier exemple d’attaque de chaîne d’approvisionnement, dans laquelle des pirates informatiques infectent le fournisseur d’un produit ou d’un service largement utilisé dans le but de compromettre les clients en aval qui l’utilisent. Dans ce cas, les pirates ont infecté les clients de Kaseya et ont ensuite utilisé cet accès pour infecter les entreprises qui ont reçu le service de Kaseya.
Le compromis SolarWinds découvert en décembre était une autre attaque de la chaîne d’approvisionnement. Il a utilisé l’infrastructure de construction de logiciels piratés de SolarWinds pour pousser une mise à jour de logiciels malveillants vers 18 000 organisations qui utilisait l’outil de gestion de réseau de l’entreprise. Environ neuf agences fédérales et 100 organisations privées ont reçu des infections de suivi.
Quiconque soupçonne que son réseau a été affecté de quelque manière que ce soit par cette attaque doit enquêter immédiatement. Kaseya a publié un outil que les clients VSA peuvent utiliser pour détecter les infections dans leurs réseaux. Le FBI et la Cybersecurity and Infrastructure Security Agency ont émis conjointement recommandations pour les clients Kaseya, en particulier s’ils ont été compromis.