Grosse cyberattaque par ransomware sur la chaîne d'approvisionnement

Le par Jérôme G.  |  10 commentaire(s)

Ce pourrait être une cyberattaque par ransomware d'une très grande ampleur à la suite d'une compromission d'une mise à jour d'un produit de Kaseya. Elle serait en lien avec REvil.

cybersecurity

Ce week-end, l'entreprise américaine de logiciel Kaseya a indiqué être la victime d'une cyberattaque dite sophistiquée touchant son produit VSA. Kaseya fournit des solutions de gestion du système d'information et de la sécurité pour l'infogérance et pour des petites ou moyennes entreprises.

VSA est une solution unifiée qui propose une gestion des points d'accès et une surveillance du réseau informatique. En raison de la cyberattaque, Kaseya a demandé de déconnecter tous les serveurs VSA sur site. Un correctif sera nécessaire avant une reprise des opérations.

kaseya-vsa

Selon Kaseya, l'incident de sécurité est localisé à un très petit nombre de clients sur site uniquement. " Nous avons adopté une approche conservatrice en arrêtant les serveurs SaaS (ndlr : Software as a Service) pour nous assurer que nous protégions au mieux nos plus de 36 000 clients. "

Kaseya prévoit une restauration et une remise en ligne de ses centres de données dès ce début de semaine. L'Agence de cybersécurité et de sécurité des infrastructures pour les États-Unis (Cisa) fait plus explicitement mention à une cyberattaque par ransomware.

" Si vous pensez que vos systèmes ont été compromis par l'incident du ransomware de Kaseya, nous vous invitons à fermer vos serveurs VSA et à contacter la Cisa, nos partenaires au FBI et déposer un rapport. "

Encore le ransomware REvil à l'accent russe ?

Les soupçons se tournent vers une cyberattaque en lien avec le groupe russe et ransomware REvil (ou Sodinokibi). Selon la société de cybersécurité Sophos, " une attaque de la chaîne d'approvisionnement a utilisé Kaseya (ndlr : une mise à jour piégée et malveillante de Kaseya) pour déployer une variante du ransomware REvil dans l'environnement d'une victime. Elle est géographiquement dispersée. "

D'après les chercheurs de Sophos, les attaquants ont exploité une vulnérabilité de type 0day pour accéder à distance à des serveurs VSA connectés à Internet. " Le binaire REvil C:\Windows\mpsvc.dll est transféré dans une copie légitime de Microsoft Defender, copié dans C:\Windows\MsMpEng.exe pour exécuter le chiffrement depuis un processus légitime. "

ransomware

L'attaque a débuté vendredi en début de soirée (heure de Paris). Par effet ricochet avec des clients de Kaseya qui fournissent eux-mêmes des services à d'autres entreprises, elle pourrait avoir affecté plus d'un millier d'entreprises, voire bien plus encore. Une chaîne de supermarchés en Suède a notamment été dans l'incapacité d'ouvrir 800 magasins à cause d'un dysfonctionnement avec les caisses enregistreuses.

Une demande de rançon va de quelques dizaines à des millions de dollars (en bitcoins) et laisse supposer une cyberattaque avec pour motivation l'appât financier, mais a priori pas du cyberespionnage. Attention toutefois, les apparences peuvent être trompeuses en la matière.

Selon des propos rapportés par Bloomberg, le président des États-Unis Joe Biden a déclaré : " Nous ne sommes par sûrs que ce soit les Russes. […] L'idée initiale était que ce n'était pas le gouvernement russe, mais nous n'en sommes pas encore sûrs. "

  • Partager ce contenu :
Cette page peut contenir des liens affiliés. Si vous achetez un produit depuis ces liens, le site marchand nous reversera une commission sans que cela n'impacte en rien le montant de votre achat. En savoir plus.
Complément d'information

Vos commentaires

Trier par : date / pertinence
Anonyme offline Hors ligne Vétéran avatar 2378 points
Ulysse2K away Absent VIP icone 51144 points
Le #2136385
C'est Kaseya qui ne doit pas rigoler... J'ai l'impression qu'il va y avoir des "promotions" et des augmentions de salaire dans les jours qui suivent. Arrrch

"L'idée initiale était que ce n'était pas le gouvernement russe, mais nous n'en sommes pas encore sûrs."... Ils hésitent entre la Russie et la Chine. La routine quoi
Johnny6 offline Hors ligne Vétéran icone 1512 points
Le #2136386
Grosse cyberattaque ... Encore un qui a ouvert une pièce jointe plutôt ...
Ulysse2K away Absent VIP icone 51144 points
Le #2136387
Johnny6 a écrit :

Grosse cyberattaque ... Encore un qui a ouvert une pièce jointe plutôt ...


Tous les clients de Kaseya ont ouvert une pièce jointe ? Je ne crois pas surtout que c'est uniquement les entreprises qui utilisent cette plateforme qui sont impactées. Je penche plus vers l'exploitation d'une faille et l'injection de code via cette dernière.
FRANCKYIV away Absent VIP icone 60416 points
Premium
Le #2136400
J'ai l'impression que depuis les confinements les cyber attaques se multiplient grandement.

Je le vois personnellement et pour TLS.
mokocchi offline Hors ligne Vétéran icone 1276 points
Le #2136410
Les chaînes d'approvisionnement seront à surveiller de près.
Il y aura d'autres attaques avec une ampleur plus large dans un avenir proche et qui provoqueront de conséquences bien plus larges que le blocage du canal de Suez.
jacob13 offline Hors ligne VIP icone 7477 points
Le #2136419
Quand ils ne savent pas ,dans la plupart des cas ,ce sont les russes ,les chinois ou les iraniens.
Le summum ça a été avec les OVNI ou ils ont déclaré que c'était encore les russes ,les chinois ou...des aliens.
Ils n'ont pas osé mettre les iraniens dans le coup .Ils ont eu la décence penser que même avec un QI de 50 les américains ne le goberaient pas.
Avec Windows 11 et son module tmp2 l'attaque aurait elle pu être évitée ?
Sûr une faille zéro days je ne suis pas sûr.
Johnny6 offline Hors ligne Vétéran icone 1512 points
Le #2136433
Ulysse2K a écrit :

Johnny6 a écrit :

Grosse cyberattaque ... Encore un qui a ouvert une pièce jointe plutôt ...


Tous les clients de Kaseya ont ouvert une pièce jointe ? Je ne crois pas surtout que c'est uniquement les entreprises qui utilisent cette plateforme qui sont impactées. Je penche plus vers l'exploitation d'une faille et l'injection de code via cette dernière.


"Kaysea, qui a passé le week-end à documenter l'attaque, explique à ses clients de ne surtout pas cliquer sur les liens envoyés par les attaquants."

J'invente rien ... Bon c'est vrai que c'était pas une pièce jointe mais ça revient au même.
Ulysse2K away Absent VIP icone 51144 points
Le #2136436
Johnny6 a écrit :

Ulysse2K a écrit :

Johnny6 a écrit :

Grosse cyberattaque ... Encore un qui a ouvert une pièce jointe plutôt ...


Tous les clients de Kaseya ont ouvert une pièce jointe ? Je ne crois pas surtout que c'est uniquement les entreprises qui utilisent cette plateforme qui sont impactées. Je penche plus vers l'exploitation d'une faille et l'injection de code via cette dernière.


"Kaysea, qui a passé le week-end à documenter l'attaque, explique à ses clients de ne surtout pas cliquer sur les liens envoyés par les attaquants."

J'invente rien ... Bon c'est vrai que c'était pas une pièce jointe mais ça revient au même.


Oui bon, on ne va pas chicaner sur ce détail. De toute manière, c'est l'action des utilisateurs qui a enclenché le bestiau. Je te l'accorde.

C'est quand même énorme qu'une plateforme pro soit aussi vulnérable (possibilité de proposer un lien)
Ca laisse dubitatif quand on voit qu'on nous propose de plus en plus de solutions "online" (comme la compta par exemple) pour, soit disant, nous facilite la vie... Mouais...

Maintenant, que cela vienne de Chine, de Russie, des USA ou de Mars, ça ne change rien au fait que cette plateforme a été aussi fragile en termes de sécurité élémentaire.
Johnny6 offline Hors ligne Vétéran icone 1512 points
Le #2136529
Ulysse2K a écrit :

Johnny6 a écrit :

Ulysse2K a écrit :

Johnny6 a écrit :

Grosse cyberattaque ... Encore un qui a ouvert une pièce jointe plutôt ...


Tous les clients de Kaseya ont ouvert une pièce jointe ? Je ne crois pas surtout que c'est uniquement les entreprises qui utilisent cette plateforme qui sont impactées. Je penche plus vers l'exploitation d'une faille et l'injection de code via cette dernière.


"Kaysea, qui a passé le week-end à documenter l'attaque, explique à ses clients de ne surtout pas cliquer sur les liens envoyés par les attaquants."

J'invente rien ... Bon c'est vrai que c'était pas une pièce jointe mais ça revient au même.


Oui bon, on ne va pas chicaner sur ce détail. De toute manière, c'est l'action des utilisateurs qui a enclenché le bestiau. Je te l'accorde.

C'est quand même énorme qu'une plateforme pro soit aussi vulnérable (possibilité de proposer un lien)
Ca laisse dubitatif quand on voit qu'on nous propose de plus en plus de solutions "online" (comme la compta par exemple) pour, soit disant, nous facilite la vie... Mouais...

Maintenant, que cela vienne de Chine, de Russie, des USA ou de Mars, ça ne change rien au fait que cette plateforme a été aussi fragile en termes de sécurité élémentaire.


En fait je suis allé vérifié après mais quand il s'agit de ransomware, 9 fois sur 10 c'est lié à une connerie de ce genre. On pourrait dire 10 fois sur 10 mais dans le doute on laisse un marge. .

Tous les cas de figure de ransomware (sur client ou serveur) que j'ai pu rencontrer directement ou indirectement ont tous, comme point de départ, quelqu'un qui aura lancé un exécutable.

Comme tu dis, ça laisse dubitatif de voir autant de progression vers le online alors que sa sécurisation est plus que faillible.
icone Suivre les commentaires
Poster un commentaire