Cyberattaque Kaseya : REvil réclame 70 millions de dollars en bitcoins pour un déchiffreur universel

Le par Jérôme G.  |  8 commentaire(s)

C'est peut-être la plus grande attaque par ransomware à ce jour et elle s'accompagne d'une grosse demande de rançon de REvil pour un déchiffreur universel.

hacker

Le 2 juillet, l'entreprise américaine de logiciel Kaseya a été la victime d'une cyberattaque touchant son produit VSA - via une vulnérabilité 0day - qui est une solution de gestion des points d'accès et de surveillance du réseau informatique.

kaseya-vsa

Kaspersky explique que les attaquants ont déployé une charge utile malveillante par le biais d'un script PowerShell qui a été exécuté par l'intermédiaire d'une mise à jour compromise de VSA. Ce script a désactivé des protections Microsoft Defender for Endpoint et a décodé un exécutable (agent.exe) comprenant une ancienne version légitime de Microsoft Defender (MsMpEng.exe) et une bibliothèque logicielle DLL piégée (mpsvc.dll) avec le ransomware REvil.

Après une cyberattaque sur la chaîne d'approvisionnement, les attaquants ont ainsi exploité une technique de DLL side-loading qui consiste à utiliser un fichier DLL malveillant usurpant un fichier DLL légitime et en s'appuyant sur une application Windows légitime pour charger et exécuter du code.

Selon Kaseya, moins d'une soixantaine de ses clients avec le produit VSA sur site ont été directement compromis par l'attaque. A priori, pas de compromission pour les clients SaaS (Software as a Service) de Kaseya. Reste que des clients affectés sont aussi des fournisseurs de services externalisés ou managés (MSP ; Managed Services Provider) pour d'autres entreprises et il y a ainsi un effet ricochet.

Une grosse demande de rançon globale

L'impact serait pour moins de 1 500 entreprises en tout, mais c'est une estimation encore susceptible d'évoluer. Le groupe REvil, qui a fait du Ransomware-as-a-Service son modèle économique, clame avoir infecté plus de 1 million d'ordinateurs avec une attaque sur les fournisseurs MSP.

revil-kaseya-dechiffreur-universel

Dans un message sur le Dark Web (The Record ; voir ci-dessus), REvil - ou un affilié - fixe à 70 millions de dollars en bitcoins un prix de négociation pour un déchiffreur dit universel. Le cas échéant, le groupe cybercriminel russophone écrit : " Nous proposerons publiquement le déchiffreur qui déchiffre les fichiers de toutes les victimes, de sorte que tout le monde pourra se remettre de l'attaque en moins d'une heure. "

Ce pourrait potentiellement être la plus grosse rançon jamais déboursée dans le cadre d'une attaque par ransomware qui est elle-même considérée par des experts en cybersécurité comme la plus grande en la matière à ce jour. Reste que payer une rançon - même sans atteindre le montant exorbitant demandé - serait un très mauvais signe envoyé en continuant d'alimenter ce type de trafic. Cela peut parfois tourner au dilemme.

Kaspersky souligne avoir observé plus de 5 000 tentatives d'attaques dans plus d'une vingtaine de pays. Les plus touchés sont l'Italie (45,2 % des tentatives d'attaques enregistrées), les États-Unis (25,91 %), la Colombie (14,83 %), l'Allemagne (3,21 %) et le Mexique (2,21 %).

Kaseya a publié un outil VSA Detection Tools afin d'analyser un système à la recherche de la présence d'éventuels indicateurs de compromission.

  • Partager ce contenu :
Cette page peut contenir des liens affiliés. Si vous achetez un produit depuis ces liens, le site marchand nous reversera une commission sans que cela n'impacte en rien le montant de votre achat. En savoir plus.
Complément d'information

Vos commentaires

Trier par : date / pertinence
Fennec6600 away Absent VIP icone 7313 points
Le #2136500
Derrière ces attaques il y a bien entendu des êtres humains.
Comment font-ils pour encaisser le fric sans être appréhendés ? Laxisme des Etats ?

A l'heure où ils envoient ces menaces, ils devraient déjà se trouver derrière les barreaux. Comment est-ce possible qu'ils agissent en toute impunité.
zzepx online Connecté VIP icone 12226 points
Premium
Le #2136504
C'est qui le premier qui va oser dire que c'est bien fait pour ces entreprises capitalistes qui exploitent les pauvres employés et font de la concurrence déloyale aux courageux et compétents services de l'état?

jacob13 offline Hors ligne VIP icone 7477 points
Le #2136517
zzepx a écrit :

C'est qui le premier qui va oser dire que c'est bien fait pour ces entreprises capitalistes qui exploitent les pauvres employés et font de la concurrence déloyale aux courageux et compétents services de l'état?



Quand le système pour éviter des coûts ne permet pas de pouvoir redémarrer sur un backup rapidement ,on peut critiquer.
Car les ransonwares ce n'est pas nouveau et les failles zéro-days non plus.
Si demain mon PC plante et que je n'ai pas fait de sauvegarde je m'en prends à moi même pas d’excuse.
zzepx online Connecté VIP icone 12226 points
Premium
Le #2136520
jacob13 a écrit :

zzepx a écrit :

C'est qui le premier qui va oser dire que c'est bien fait pour ces entreprises capitalistes qui exploitent les pauvres employés et font de la concurrence déloyale aux courageux et compétents services de l'état?



Quand le système pour éviter des coûts ne permet pas de pouvoir redémarrer sur un backup rapidement ,on peut critiquer.
Car les ransonwares ce n'est pas nouveau et les failles zéro-days non plus.
Si demain mon PC plante et que je n'ai pas fait de sauvegarde je m'en prends à moi même pas d’excuse.


Ma tolérance a ses limites.

Si mon PC plante pour des raisons externes, que je puisses ou pas le rétablir avec des sauvegardes, je pense que je m'en prendrai en priorité à ces raisons externes.
FRANCKYIV away Absent VIP icone 60416 points
Premium
Le #2136537
Fennec6600 a écrit :

Derrière ces attaques il y a bien entendu des êtres humains.
Comment font-ils pour encaisser le fric sans être appréhendés ? Laxisme des Etats ?

A l'heure où ils envoient ces menaces, ils devraient déjà se trouver derrière les barreaux. Comment est-ce possible qu'ils agissent en toute impunité.


Il me semble que le BitCoin offre une certaine anonymisation (à confirmé, je ne suis pas spécialiste).
Fennec6600 away Absent VIP icone 7313 points
Le #2136577
FRANCKYIV a écrit :

Fennec6600 a écrit :

Derrière ces attaques il y a bien entendu des êtres humains.
Comment font-ils pour encaisser le fric sans être appréhendés ? Laxisme des Etats ?

A l'heure où ils envoient ces menaces, ils devraient déjà se trouver derrière les barreaux. Comment est-ce possible qu'ils agissent en toute impunité.


Il me semble que le BitCoin offre une certaine anonymisation (à confirmé, je ne suis pas spécialiste).


Probablement. Mais alors qu'attendent les gouvernants pour démanteler tout ce système qui passe à travers tout contrôle(fiscal notamment) ?
cladamousse offline Hors ligne Vétéran icone 1079 points
Le #2136583
je suis d'accord avec zzepx faut pas déconner non plus
Anonyme offline Hors ligne VIP avatar 15871 points
Le #2136593
Tant que l'on ne remplace une peine de 20 ans de prison minimale avec extradition systématique vers le pays qui a la peine la plus forte on ne réglera pas le problème. On a les délinquants que l'on mérite.
icone Suivre les commentaires
Poster un commentaire