Trois jours après que les attaquants ransomware ont commencé le week-end de vacances en compromettant Kaseya VSA, nous avons une idée plus précise de l'ampleur de l'impact. Dans une nouvelle demande de rançon, les attaquants prétendent avoir compromis plus d'un million d'ordinateurs et demandent 70 millions de dollars pour décrypter les appareils concernés.
Le logiciel de Kaseya est utilisé par les fournisseurs de services gérés pour effectuer des tâches informatiques à distance, mais le 2 juillet, le groupe de ransomware REvil, lié à la Russie, a déployé une mise à jour de logiciel malveillant exposant les fournisseurs qui utilisent la plate-forme et leurs clients.
L'Institut néerlandais pour la divulgation des vulnérabilités (DIVD) a révélé qu'il semble que l'exploit utilisé pour la violation était le même que celui qu'ils ont découvert et qu'il était en train de résoudre lorsque les attaquants ont frappé. “Nous menions déjà une vaste enquête sur les outils de sauvegarde et d'administration système et leurs vulnérabilités”, a écrit DIVD. « L'un des produits que nous avons étudiés est Kaseya VSA. Nous avons découvert de graves vulnérabilités dans Kaseya VSA et les avons signalées à Kaseya, avec qui nous sommes en contact régulier depuis lors.
Nous nous attendons à ce que le nombre total d'organisations de victimes soit supérieur à ce qui est signalé par n'importe quelle entreprise de sécurité individuelle.
Vendredi, le PDG de Kaseya, Fred Vocolla, a déclaré que “seul un très petit pourcentage de nos clients a été touché – actuellement estimé à moins de 40 dans le monde”. Le vice-président de Sophos, Ross McKerchar, a déclaré dimanche dans un communiqué qu'« il s'agit de l'une des attaques de ransomware criminelles les plus étendues que Sophos ait jamais vues. À l'heure actuelle, nos preuves montrent que plus de 70 fournisseurs de services gérés ont été touchés, ce qui a entraîné plus de 350 organisations supplémentaires. Nous nous attendons à ce que le nombre total d'organisations de victimes soit plus élevé que ce qui est signalé par n'importe quelle entreprise de sécurité individuelle. »
La conseillère adjointe à la sécurité nationale pour la cybersécurité et les technologies émergentes, Anne Neuberger, a donné suite aux commentaires précédents du président Biden, en déclarant que « le FBI et la CISA contacteront les victimes identifiées pour leur fournir une assistance sur la base d'une évaluation du risque national. »
Huntress Labs participe à la réponse à l'attaque et a répertorié la plupart des informations disponibles, affirmant que l'attaque a compromis plus de 1 000 entreprises qu'elle suit.
:no_upscale()/cdn.vox/uploadsn.com /chorus_asset/file/22700229/revil_blog.png "Les attaquants du ransomware Kaseya demandent 70 millions de dollars, prétendent avoir infecté plus d'un million d'appareils")
REvil rançon demande Sophos Les serveurs cloud SaaS de Kaseya restent hors ligne
Sophos, Huntress et d'autres ont souligné ce message (ci-dessus) sur le « Happy Blog » de REvil, affirmant que plus d'un million d'appareils avaient été infectés et fixant une demande de rançon de 70 millions de dollars en Bitcoin pour tous les débloquer. REvil a été lié à une multitude d'incidents de ransomware, dont une attaque impliquant Kaseya en juin 2019 et un incident très médiatisé plus tôt cette année ciblant le fournisseur de viande JBS. Cependant, le chercheur en sécurité Marcus Hutchins a exprimé son scepticisme quant à l'affirmation du groupe, suggérant qu'ils exagèrent l'impact dans l'espoir d'obtenir un gros gain de Kaseya ou de quelqu'un d'autre
Jusqu'à présent, une fois le Les entreprises les plus touchées par l'attaque sont Coop, une ligne de plus de 800 épiceries en Suède qui a fermé samedi lorsque l'attaque a fermé ses caisses enregistreuses. Selon une note sur son site Web, les magasins où les clients peuvent faire leurs achats en utilisant Coop's Scan & L'application mobile payante a rouvert, tandis que d'autres emplacements restent fermés. Les experts ont prédit que mardi, lorsque les travailleurs retourneront dans leurs bureaux aux États-Unis, d'autres victimes pourraient être découvertes.
Trois jours après l'attaque, les serveurs cloud SaaS de Kaseya restent hors ligne. La société a déclaré qu'elle fournirait un calendrier mis à jour pour la restauration du serveur ce soir, ainsi que des détails plus techniques sur l'attaque pour aider les efforts de récupération des clients et des chercheurs en sécurité.