Nouvelle vague de ransomware après une cyberattaque contre la société américaine de logiciels Kaseya

CYBER-ATTAQUE | La société américaine de logiciels Kaseya, dont le logiciel de surveillance à distance et de solutions de gestions des terminaux (VSA) est utilisé par d’autres entreprises technologiques pour surveiller et gérer les réseaux informatiques de leurs clients, a été victime d’une cyberattaque d’envergure. Le 2 juillet, les équipes de Kaseya ont émis un avis de sécurité demandant aux clients de fermer immédiatement les versions du logiciel VSA présentes sur leurs serveurs.

La société américaine est au cœur d’une crise de sécurité. Les hackers ont eu recours à deux des tactiques les plus dévastatrices utilisées de nos jours : des attaques contre la chaîne d’approvisionnement et le ransomware (ou rançongiciel). La première tactique consiste à cibler des entreprises dont les logiciels sont largement utilisés par d’autres entreprises. Une fois que les hackers ont pénétré dans le système du fournisseur, ils l’utilisent comme point de départ pour accéder également aux réseaux des clients. Les pirates informatiques installent ensuite un ransomware, qui verrouille les données des victimes et ne les libère qu’après le paiement d’une rançon (généralement en cryptomonnaies).

Les hackers qui ont ciblé Kaseya ont réussi à compromettre son logiciel VSA et l’ont ensuite utilisé comme point de départ pour s’introduire dans les systèmes d’autres entreprises. Une fois à l’intérieur de ceux-ci, ils ont mis en place un rançongiciel.

On ne connaît pas encore l’ampleur exacte des dégâts causés par cette double cyberattaque. Dans un avis de sécurité publié sur son site internet, Kaseya, dont le siège social américain est basé à Miami, a déclaré que le risque serait actuellement limité aux entreprises utilisant le logiciel VSA sur leurs propres serveurs : « Seul un très faible pourcentage de nos clients a été affecté ». La société estime que moins de 40 de ses clients ont été touchés par cette attaque (au total, Kaseya compte 36 000 clients dans le monde).

Une réaction en chaîne

Cependant, certaines des entreprises touchées semblent être des prestataires de services gérés (MSP). Ces derniers gèrent des services informatiques, tels que la mise à niveau de logiciels et la surveillance des réseaux, pour le compte d’un large éventail de clients. Les MSP font souvent l’objet de cyberattaques. En effet, les hackers utilisent l’accès aux systèmes des MSP pour s’introduire dans les systèmes de leurs clients.

Selon la société de cybersécurité Huntress Labs, huit MSP ont été compromis par le biais du logiciel VSA, et trois MSP avec lesquels elle travaille directement ont vu au moins 200 de leurs clients touchés par le ransomware. Huntress Labs, qui n’a pas révélé le nom des MSP affectés, pense qu’un groupe de hackers basé en Russie et connu sous le nom de REvil est à l’origine de l’attaque. Le 3 juillet, un porte-parole de Kaseya a déclaré au Wall Street Journal que parmi les clients touchés, plus de 30 étaient des MSP.

Le 4 juillet, une demande de rançon a été publiée sur un blog qui avait déjà été utilisé par le groupe REvil. Dans cette demande de rançon, les hackers proposent de remettre le code permettant de déverrouiller les systèmes touchés en échange de 70 millions de dollars en bitcoins : « Nous avons lancé une attaque contre les fournisseurs de services de gestion de réseau. Plus d’un million de systèmes ont été infectés. Si quelqu’un veut récupérer un décrypteur universel, notre prix est de 70 millions de dollars en bitcoins. Nous publierons ensuite publiquement le décrypteur ».

Dans sa déclaration initiale publiée sur son site internet, Kaseya a déclaré avoir appris l’existence d’un incident de sécurité potentiel vendredi 2 juillet vers midi et avoir rapidement fait appel à des experts en sécurité pour l’aider dans son enquête interne. La société américaine a également informé le FBI et la Cybersecurity Infrastructure and Security Agency (CISA, Agence américaine pour la cybersécurité et la sécurité), qui dépend du département de la Sécurité intérieure des États-Unis. Enfin, Kaseya a émis des avertissements de sécurité à l’intention de ses clients.

Dans un communiqué publié vendredi 2 juillet, la CISA a déclaré qu’elle prenait « des mesures pour comprendre et traiter la récente attaque par ransomware de la chaîne d’approvisionnement visant Kaseya VSA et les multiples MSP qui utilisent le logiciel VSA. » La CISA a également demandé aux entreprises concernées de suivre les conseils de Kaseya et de fermer leurs serveurs exécutant le logiciel VSA de l’entreprise.

Le 4 juillet, la société Kaseya a déclaré qu’elle travaillait sur un logiciel pour corriger le problème et qui serait prêt à être déployé auprès de ses clients dans les 24 à 48 heures suivantes. La société espère également redémarrer son service de cloud computing à peu près en même temps que la distribution du logiciel correctif. Le 5 juillet, le PDG de Kaseya, Fred Voccola, a déclaré à Reuters qu’il pensait qu’entre 800 et 1500 entreprises avaient été touchées par la cyberattaque, mais qu’il était difficile d’en être certain.

Les cibles de ransomware

Ce nouvel incident s’inscrit dans une série de cyberattaques par ransomware à l’encontre d’entreprises américaines. Parmi ces entreprises victimes de rançongiciel, l’on peut citer le géant agroalimentaire JBS et l’entreprise pétrolière Colonial Pipeline.

Par ailleurs, les États-Unis se remettent toujours d’une cyberattaque contre la société SolarWinds, qui a compromis les systèmes informatiques de centaines d’entreprises, dont des sociétés et des agences gouvernementales. Lors d’une récente rencontre avec le président russe, Vladimir Poutine, Joe Biden a enjoint son homologue à agir contre les groupes de hackers basés en Russie et impliqués dans les attaques par ransomware et d’autres cybercrimes.

Interrogé sur le piratage des serveurs de Kaseya lors d’une visite dans le Michigan le 3 juillet, le président américain a déclaré que son gouvernement n’était « pas certain » de l’identité des auteurs de l’attaque et qu’il avait demandé aux agences de renseignement américaines d’enquêter. « S’il s’agit d’une cyberattaque menée à la connaissance de la Russie ou commandée par celle-ci, j’ai affirmé à Vladimir Poutine que nous riposterions », a indiqué Joe Biden aux journalistes qui l’accompagnaient lors de ce déplacement.

Les répercussions de cette cyberattaque se sont fait ressentir au-delà des États-Unis. La chaîne de supermarchés suédoise Coop a dû fermer près de 800 enseignes vendredi 2 juillet, après avoir été victime d’une cyberattaque qui a affecté les serveurs des magasins. Il n’est pas encore certain que le piratage soit le résultat direct de la compromission de Kaseya VSA, mais certains rapports ont suggéré que l’un des prestataires de Coop, la société norvégienne Visma, a été touché par cette cyberattaque.

Article traduit de Forbes US – Auteur : Martin Giles

<<< À lire également : 3 réflexes en cas de rançongiciel ou ransomware >>>