Le piratage de Kaseya inonde des centaines d’entreprises de ransomwares – TechCrunch


Vendredi, un flot de ransomwares a frappé des centaines d’entreprises à travers le monde. Une chaîne d’épicerie, un radiodiffuseur public, des écoles et un système ferroviaire national ont tous été touchés par le logiciel malveillant de cryptage de fichiers, provoquant des perturbations et forçant des centaines d’entreprises à fermer.

Les victimes avaient quelque chose en commun : un élément clé du logiciel de gestion de réseau et de contrôle à distance développé par L’entreprise technologique américaine Kaseya. La société basée à Miami fait du logiciel utilisé pour gérer à distance les réseaux et les appareils informatiques d’une entreprise. Ce logiciel est vendu à des fournisseurs de services gérés – des services informatiques externalisés de manière efficace – qu’ils utilisent ensuite pour gérer les réseaux de leurs clients, souvent de petites entreprises.

Mais les pirates informatiques associés au groupe de rançongiciels en tant que service REvil, lié à la Russie, auraient utilisé une vulnérabilité de sécurité jamais vue auparavant dans le mécanisme de mise à jour du logiciel pour transmettre des ransomwares aux clients de Kaseya, qui à leur tour se sont propagés en aval à leurs clients. . De nombreuses entreprises qui ont finalement été victimes de l’attaque ne savaient peut-être pas que leurs réseaux étaient surveillés par le logiciel de Kaseya.

Kaseya a averti vendredi les clients de fermer « IMMÉDIATEMENT » leurs serveurs sur site, et son service cloud – bien qu’il ne soit pas censé être affecté – a été mis hors ligne par mesure de précaution.

“[Kaseya] fait preuve d’un véritable engagement à faire ce qu’il faut. Malheureusement, nous avons été battus par REvil dans le sprint final. Chercheur en sécurité Victor Gevers

John Hammond, chercheur principal en sécurité chez Huntress Labs, une entreprise de détection des menaces qui a été l’une des premières à révéler l’attaque, a déclaré qu’environ 30 fournisseurs de services gérés ont été touchés, permettant au ransomware de se propager à “bien plus” de 1 000 entreprises. ” La société de sécurité ESET a déclaré avoir connaissance de victimes dans 17 pays, dont le Royaume-Uni, l’Afrique du Sud, le Canada, la Nouvelle-Zélande, le Kenya et l’Indonésie.

Maintenant, il devient de plus en plus clair comment les pirates ont réussi l’une des plus grandes attaques de ransomware de l’histoire récente.

Des chercheurs néerlandais ont déclaré avoir découvert plusieurs vulnérabilités zero-day dans le logiciel de Kaseya dans le cadre d’une enquête sur la sécurité des outils d’administration Web. (Les jours zéro sont nommés comme tels car cela donne aux entreprises zéro jour pour résoudre le problème.) Les bogues ont été signalés à Kaseya et étaient en train d’être corrigés lorsque les pirates ont frappé, a déclaré Victor Gevers, qui dirige le groupe de chercheurs, dans un article de blog.

Le directeur général de Kaseya, Fred Voccola, a déclaré Le journal de Wall Street que ses systèmes d’entreprise n’ont pas été compromis, donnant une plus grande crédibilité à la théorie de travail des chercheurs en sécurité selon laquelle les serveurs gérés par les clients de Kaseya ont été compromis individuellement à l’aide d’une vulnérabilité commune.

La société a déclaré que tous les serveurs exécutant le logiciel concerné devraient rester hors ligne jusqu’à ce que le correctif soit prêt. Voccola a déclaré au journal qu’il s’attend à ce que les correctifs soient publiés lundi soir.

L’attaque a commencé vendredi en fin d’après-midi, alors que des millions d’Américains se déconnectaient du long week-end du 4 juillet. Adam Meyers, vice-président senior du renseignement de CrowdStrike, a déclaré que l’attaque avait été soigneusement programmée.

« Ne vous y trompez pas, le moment et la cible de cette attaque ne sont pas une coïncidence. Il illustre ce que nous définissons comme une attaque de chasse au gros gibier, lancée contre une cible pour maximiser l’impact et les profits à travers une chaîne d’approvisionnement pendant un week-end de vacances lorsque les défenses de l’entreprise sont en panne », a déclaré Meyers.

Un avis publié ce week-end sur un site Web sombre connu pour être géré par REvil a revendiqué la responsabilité de l’attaque et que le groupe de ransomware publierait publiquement un outil de décryptage s’il était payé 70 millions de dollars en bitcoins.

“Plus d’un million de systèmes ont été infectés”, affirme le groupe dans le message.



Source link