GlobalSign Blog

L'attaque sur Kaseya - Les attaques par ransomware sont-elles inévitables ?

L'attaque sur Kaseya - Les attaques par ransomware sont-elles inévitables ?

Début juillet, l'organisation de pirates russes REvil a lancé une attaque par ransomware, exigeant de Kaseya le paiement de 70 millions de dollars. La société fournit des solutions de gestion de l'infrastructure informatique aux fournisseurs de services gérés (MSP) et aux organisations informatiques internes et compte des clients dans le monde entier.

Cette attaque est l'un des derniers incidents que le gouvernement américain tente d'éradiquer, mais l'inquiétude s'étend bien au-delà de la frontière américaine puisque pas moins de 1 500 entreprises dans le monde pourraient être touchées.

Dans ce blog, nous reviendrons sur cette attaque et son impact, ainsi que sur les conseils pour repérer - et prévenir - les futures cybermenaces.

Les faits

Juste avant le week-end du 4 juillet 2021, des pirates informatiques ont attaqué la société américaine Kaseya, demandant une rançon à plus de 1 000 entreprises. Le ransomware a été diffusé par le biais d'un patch malveillant via le serveur VSA de Kaseya le 2 juillet, et - en conséquence - des milliers de nœuds dans des centaines d'entreprises ont été facilement compromis et cryptés. VSA est un logiciel populaire de gestion des réseaux distants, utilisé par de nombreux MSP qui fournissent des services informatiques à d'autres entreprises. Comme dans d'autres types d'attaques par porte dérobée, les logiciels de gestion de réseau sont un bon endroit pour cacher des logiciels malveillants, car ces systèmes peuvent généralement visiter de nombreux sites et effectuer de nombreuses tâches, ce qui les rend particulièrement difficiles à surveiller.

Lorsque l'organisation REvil a diffusé le patch malveillant contenant une charge utile nommée "Sodinokibi", elle a procédé au chiffrement des serveurs et des dossiers partagés. Contrairement à l'attaque de la chaîne d'approvisionnement de SolarWinds, le serveur de mise à jour de la société a été compromis, mais l'infrastructure de Kaseya ne semble pas avoir été affectée. Le code informatique à l'origine de l'attaque de Kaseya a été développé de telle sorte que le malware évite les systèmes utilisant le russe ou des langues apparentées. C'était le fil conducteur de l'attaque par ransomware Darkside contre Colonial Pipeline et cela vient étayer les allégations selon lesquelles un groupe parrainé par le gouvernement russe est responsable.

"Tous les serveurs VSA sur site resteront hors ligne jusqu'à ce que Kaseya fournisse de nouvelles instructions pour reprendre les opérations en toute sécurité", a déclaré la société, sans toutefois préciser l'ampleur de l'attaque. "En raison de la réponse rapide de notre équipe, nous pensons que cette attaque est limitée à un très petit nombre de clients", a tenté d'assurer Kaseya - mais les dégâts pourraient s'avérer de grande ampleur.

Commentant l'incident par le biais de son compte Twitter, John Hammond, chercheur principal en sécurité chez Huntress Labs, a expliqué : " Kaseya traite les grandes entreprises comme les petites entreprises à l'échelle mondiale, donc en fin de compte, (ceci) a le potentiel de se propager à toute entreprise quelque soit leur taille ou échelle. "

La chaîne de supermarchés suédoise Coop a dû fermer plus de 800 magasins le samedi 3 juillet, rendant ses caisses indisponibles, selon la page Facebook de l'entreprise. Et selon les médias suédois, la chaîne de pharmacies Apotek Hjärtat et la société d'énergie finlandaise ST1 ont également été touchées. Il a été révélé que les cybercriminels ont envoyé deux demandes de rançon différentes directement aux entreprises, demandant 50 000 dollars aux petites entreprises et 5 millions de dollars aux grandes entreprises.

Pour compliquer encore les choses, les sites Web de REvil sur le dark web ont également disparu. Ils sont hors ligne depuis plusieurs semaines, tandis que les discussions sur les raisons de leur fermeture - et sur l'identité de leurs auteurs - se poursuivent. Personne ne sait exactement qui est responsable. Est-ce le gouvernement américain ? La Russie ? Malheureusement, tant que REvil n'est pas remis en ligne, de nombreuses victimes de ses attaques ne savent pas quand elles pourront déverrouiller leurs données cryptées.

Pourquoi une attaque d'une telle ampleur ?

Comme indiqué en amont, Kaseya a confirmé qu'environ 1 500 entreprises ont été touchées par l'attaque. "À ce jour, nous savons que moins de 60 clients de Kaseya, qui utilisaient tous le produit VSA sur site, ont été directement compromis par cette attaque. Bien que beaucoup de ces clients fournissent des services informatiques à de nombreuses autres entreprises, nous comprenons que l'impact total à ce jour est inférieur à 1 500 entreprises en aval. Nous n'avons trouvé aucune preuve que l'un de nos clients SaaS ait été compromis", a déclaré Kaseya dans une mise à jour sur l'attaque.

Le logiciel VSA de la société surveille le parc de machines de ses clients. Entre les mains des pirates, le logiciel s'est transformé en distributeur de logiciels malveillants, rendant les fichiers illisibles, les e-mails professionnels inutilisables et les machines inopérantes. Kaseya a immédiatement demandé aux entreprises de fermer les serveurs, ce qui a eu des répercussions sur des milliers de clients.

Qu'est-ce qui rend ce piratage particulièrement grave ?

Les pirates ont infiltré Kaseya, ont eu accès aux données de ses clients et ont exigé une rançon pour les récupérer. Selon les experts, ce qui rend ce piratage particulièrement grave est le fait que Kaseya est un MSP - ses systèmes sont utilisés par des entreprises plus petites, avec des départements techniques et des ressources modestes. Grâce à des mises à jour régulières, Kaseya assure la sécurité de ses systèmes, mais dans ce cas, les fonctions de sécurité ont été détournées pour diffuser des logiciels malveillants sur les systèmes des clients. Plus grave encore, les acteurs malveillants à l'origine de l'attaque ont ciblé des systèmes généralement utilisés pour protéger les clients contre les logiciels malveillants, a déclaré Doug Schmidt, professeur d'informatique à l'Université Vanderbilt.

"C'est très effrayant pour de nombreuses raisons - c'est un type d'attaque totalement différent de ce que nous avons vu auparavant", a déclaré Schmidt. "Si vous pouvez attaquer quelqu'un par un canal de confiance, c'est incroyablement invasif - cela va ricocher bien au-delà des rêves les plus fous de l'attaquant."

Pourquoi nous devrions tous nous préoccuper de la prévalence des ransomware

Le terme "ransomware" désigne généralement un logiciel malveillant qui verrouille l'ordinateur d'une victime jusqu'au paiement d'une rançon numérique, généralement sous forme de bitcoins. Les attaques par ransomware existent depuis des années et visent souvent des particuliers ou des petites entreprises afin d'extorquer des paiements pour débloquer des données.

Ces dernières années, les criminels sont devenus plus agressifs, s'attaquant à des cibles plus importantes et potentiellement plus lucratives. Ils s'améliorent constamment et deviennent plus sophistiqués depuis le premier événement enregistré en 1989. Dans leur forme brute, les ransomwares ne sont pas chiffrés - mais les pirates modernes utilisent des méthodes cryptographiques pour chiffrer les fichiers, les rendant inaccessibles aux propriétaires d'origine. Le cryptage des ransomwares peut également être utilisé sur les disques durs pour verrouiller complètement le système d'exploitation de l'ordinateur et empêcher la victime d'y accéder.

Malgré son nom, il n'y a aucune garantie que les paiements de rançon effectués seront honorés par les attaquants, ce qui place les victimes dans une situation terrible. Plus malheureux encore, la popularité des ransomwares a considérablement augmenté au cours de la dernière décennie. En tant que cyberattaque à motivation financière, il s'agit actuellement de la principale menace liée aux logiciels malveillants dans le monde, comme l'indique Europol (IOCTA 2018).

Comment les entreprises se font-elles piéger ?

Les ransomwares peuvent atteindre votre ordinateur de plusieurs façons, mais ils sont généralement contenus dans des pièces jointes d'emails. Voici trois des types de cyberattaques les plus courants utilisant des ransomwares :

  • Phishing : Une forme d'ingénierie sociale où les pirates trompent les victimes pour qu'elles ouvrent et s'engagent avec des messages. Dans le contexte des ransomwares, les e-mails de phishing sont l'une des formes les plus courantes de distribution de logiciels malveillants. Les victimes sont généralement infectées par des pièces jointes compromises ou des liens déguisés en documents légitimes. Dans un réseau d'ordinateurs, une seule victime peut suffire à compromettre une organisation entière.
  • Kits d'exploitation : Une collection de divers outils malveillants et de code d'exploitation pré-écrit. Ces kits sont conçus pour exploiter les problèmes et les vulnérabilités des applications logicielles et des systèmes d'exploitation afin de diffuser des logiciels malveillants (les systèmes non sécurisés utilisant des logiciels obsolètes sont les cibles les plus courantes).
  • Malvertising : Les attaquants utilisent des réseaux publicitaires pour diffuser des ransomwares.

Il ne s'agit là que de quelques exemples d'attaques qui devraient être dans votre ligne de mire, mais il existe bien entendu de nombreuses autres façons dont votre entreprise peut être victime d'attaques en ligne. Découvrez les différentes façons dont votre entreprise peut être ciblée par les pirates et comment vous protéger grâce à notre infographie interactive de sensibilisation à la cybersécurité.

Share this Post