Une attaque de ransomware avant les vacances laisse les entreprises se démener


Les entreprises se précipitent pour contenir une attaque de ransomware qui a paralysé leurs réseaux informatiques, une situation compliquée aux États-Unis par des bureaux peu dotés en personnel au début du week-end férié du 4 juillet

Les entreprises se sont précipitées samedi pour contenir une attaque de ransomware qui a paralysé leurs réseaux informatiques, une situation compliquée aux États-Unis par des bureaux à faible effectif au début du week-end férié du 4 juillet.

En Suède, la plupart des 800 magasins de la chaîne d’épicerie Coop n’ont pas pu ouvrir car leurs caisses enregistreuses ne fonctionnaient pas, selon SVT, le radiodiffuseur public du pays. Les chemins de fer suédois et une grande chaîne de pharmacies locales ont également été touchés.

Les experts en cybersécurité affirment que le gang REvil, un important syndicat de ransomware russophone, semble être à l’origine de l’attaque qui a ciblé un fournisseur de logiciels appelé Kaseya, utilisant son package de gestion de réseau comme moyen de diffuser le ransomware via des fournisseurs de services cloud.

Le PDG de Kaseya, Fred Voccola, a déclaré dans un communiqué que la société pensait avoir identifié la source de la vulnérabilité et “publierait ce correctif le plus rapidement possible pour que nos clients soient à nouveau opérationnels”.

John Hammond de la société de sécurité Huntress Labs a déclaré qu’il était au courant qu’un certain nombre de fournisseurs de services gérés – des entreprises qui hébergent une infrastructure informatique pour plusieurs clients – étaient touchés par le ransomware, qui crypte les réseaux jusqu’à ce que les victimes paient les attaquants.

“Il est raisonnable de penser que cela pourrait potentiellement avoir un impact sur des milliers de petites entreprises”, a déclaré Hammond, basant son estimation sur les fournisseurs de services contactant son entreprise pour obtenir de l’aide et des commentaires sur Reddit montrant comment les autres réagissent.

Voccola a déclaré que moins de 40 clients de Kaseya étaient affectés, mais le ransomware pourrait encore affecter des centaines d’autres entreprises qui dépendent des clients de Kaseya qui fournissent des services informatiques plus larges.

Voccola a déclaré que le problème n’affectait que ses clients “sur site”, ce qui signifie que les organisations gérant leurs propres centres de données. Cela n’affecte pas ses services basés sur le cloud exécutant des logiciels pour les clients, bien que Kaseya ait également fermé ces serveurs par mesure de précaution, a-t-il déclaré.

La société a ajouté samedi dans un communiqué que “les clients qui ont subi un ransomware et qui reçoivent une communication des attaquants ne doivent cliquer sur aucun lien – ils peuvent être armés”.

L’analyste de Gartner, Katell Thielemann, a déclaré qu’il est clair que Kaseya est rapidement passée à l’action, mais il est moins clair si leurs clients concernés avaient le même niveau de préparation.

“Ils ont réagi avec beaucoup de prudence”, a-t-elle déclaré. “Mais la réalité de cet événement est qu’il a été conçu pour un impact maximal, combinant une attaque de la chaîne d’approvisionnement avec une attaque de ransomware.”

Les attaques de la chaîne d’approvisionnement sont celles qui infiltrent généralement les logiciels largement utilisés et propagent des logiciels malveillants lors de leur mise à jour automatique.

Pour compliquer la réponse, cela s’est produit au début d’un week-end de vacances important aux États-Unis, lorsque la plupart des équipes informatiques d’entreprise ne sont pas entièrement dotées en personnel.

Cela pourrait également empêcher ces organisations de remédier à d’autres failles de sécurité, comme un bogue Microsoft dangereux affectant les logiciels pour les travaux d’impression, a déclaré James Shank, de la société de renseignement sur les menaces Team Cymru.

« Les clients de Kaseya sont dans la pire situation possible », a-t-il déclaré. “Ils courent contre la montre pour obtenir les mises à jour sur d’autres bogues critiques.”

Shank a déclaré « qu’il est raisonnable de penser que le timing a été planifié » par les pirates informatiques pour les vacances.

L’Agence fédérale de cybersécurité et de sécurité des infrastructures a déclaré dans un communiqué qu’elle surveillait de près la situation et travaillait avec le FBI pour recueillir plus d’informations sur son impact.

CISA a exhorté toute personne susceptible d’être affectée à “suivre les conseils de Kaseya pour arrêter immédiatement les serveurs VSA”. Kaseya exécute ce qu’on appelle un administrateur système virtuel, ou VSA, qui est utilisé pour gérer et surveiller à distance le réseau d’un client.

La société privée Kaseya est basée à Dublin, en Irlande, avec un siège américain à Miami.

REvil, le groupe que la plupart des experts ont lié à l’attaque, était le même fournisseur de ransomware que le FBI a lié à une attaque contre JBS SA, un important transformateur mondial de viande, au milieu du week-end du Memorial Day en mai.

Actif depuis avril 2019, le groupe fournit un ransomware-as-a-service, ce qui signifie qu’il développe le logiciel paralysant le réseau et le loue à des soi-disant affiliés qui infectent des cibles et gagnent la part du lion des rançons.

L’entreprise de viande basée au Brésil a déclaré avoir payé l’équivalent d’une rançon de 11 millions de dollars aux pirates informatiques, multipliant les appels des forces de l’ordre américaines pour traduire ces groupes en justice.



Source link