Juste à temps pour gâcher le week-end de vacances, les attaquants de ransomware ont apparemment utilisé Kaseya – une plate-forme logicielle conçue pour aider à gérer les services informatiques à distance – pour livrer leur charge utile. Le directeur de Sophos et hacker éthique Mark Loman a tweeté à propos de l'attaque plus tôt dans la journée et rapporte maintenant que les systèmes concernés demanderont 44 999 $ pour être déverrouillés. Une note sur le site Web de Kaseya implore les clients de fermer leurs serveurs VSA pour le moment « car l'une des premières choses que fait l'attaquant est de fermer l'accès administratif au VSA. »
News Flash : les cybercriminels sont des $$holes.
Gardez toutes les équipes d'intervention en cas d'incident à l'esprit ce week-end de vacances car elles sont au cœur de l'action… encore une fois.
Si vous utilisez Kaseya VSA, fermez-le *maintenant* jusqu'à ce qu'on vous dise de le réactiver et de lancer l'IR. Voici le binaire : https://t.co/NIuGJZW84p https://t.co/GSXPlOPjFt
— Chris Krebs (@C_C_Krebs) 2 juillet 2021
Selon Selon un rapport de Bleeping Computer, l'attaque a ciblé six grands MSP et a chiffré les données de 200 entreprises.
Chez DoublePulsar, Kevin Beaumont a publié plus de détails sur le fonctionnement de l'attaque, le ransomware REvil arrivant via une mise à jour Kaseya et utilisant les privilèges administratifs de la plate-forme pour infecter les systèmes. Une fois que les fournisseurs de services gérés sont infectés, leurs systèmes peuvent attaquer les clients pour lesquels ils fournissent des services informatiques à distance (gestion du réseau, mises à jour du système et sauvegardes, entre autres).
Dans un communiqué, Kaseya a déclaré à The Verge que “Nous enquêtons sur une attaque potentielle contre le VSA qui indique avoir été limitée à un petit nombre de nos clients sur site uniquement”. Un avis affirme que tous ses serveurs cloud sont désormais en « mode maintenance », une décision qui, selon le porte-parole, est prise en raison d'une « grande prudence ».
Nous enquêtons sur une attaque potentielle contre le VSA qui indique avoir été limitée à un petit nombre de nos clients sur site uniquement. Nous avons fermé nos serveurs SaaS de manière proactive par prudence.
Nous sommes en train d'enquêter sur la cause première de l'incident avec la plus grande vigilance, nous avons :
a. A notifié à tous nos clients sur site de fermer immédiatement leurs serveurs VSA
b. Arrêtez nos serveurs SaaS
Nous avons également été informés par quelques sociétés de sécurité du problème et nous travaillons également en étroite collaboration avec elles. Pendant que nous continuons à enquêter sur l'incident, nous mettrons à jour nos clients (et les parties intéressées) dès que nous aurons plus d'informations.
Dana Liedholm – SVP, Corporate Communications Kaseya
L'attaque d'aujourd'hui a été liée au célèbre gang de ransomware REvil (déjà lié aux attaques contre Acer et le fournisseur de viande JBS plus tôt cette année), et The Record note que, en collectant des incidents sous plus d'un nom, c'est peut-être la troisième fois que le logiciel Kaseya est un vecteur de leurs exploits.