Une attaque de ransomware menée par le cybergang REvil (Sodikinibi) affecte 1 500 entreprises dans le monde

revil ransomware attaque plusieurs entreprises Une attaque de ransomware majeure menée par le célèbre cyber-gang REvil / Sodinikibi à la barre, aurait touché jusqu'à 200 entreprises en Amérique et près de 1 500 dans le monde. Les escrocs liés à la Russie ont compromis un progiciel de gestion de réseau spécifique pour propager la menace, ce qui leur a permis d'atteindre une myriade de fournisseurs de services cloud.

Le logiciel défectueux en question s'appelle Virtual System Administrator, ou VSA - un système de surveillance et de gestion à distance développé et commercialisé par Kaseya, une entreprise privée, qui s'efforce de fournir des solutions logicielles efficaces et rentables aux petites et moyennes entreprises du monde entier. . Le malware a commencé à exécuter un ransomware sur les points de terminaison gérés par le package VAS sur site de Kaseya. En conséquence, l'ampleur réelle de la tactique peut s'avérer bien plus importante que les chercheurs en sécurité ne l'avaient espéré.

Exploiter les logiciels populaires pour un impact plus important

Les attaques de ransomware de ce calibre tentent généralement de trouver des failles de sécurité dans des programmes logiciels bien connus et largement utilisés, puis exploitent ces failles pour implanter le malware plus loin dans la chaîne d'approvisionnement. Cependant, il s'agit de la première attaque de ransomware à grande échelle dans la chaîne d'approvisionnement que nous ayons observée. Étant donné le grand nombre d'entreprises utilisant le package VSA de Kaseya, il n'est pas tout à fait clair quel pourcentage de leurs clients a été victime de l'attaque jusqu'à présent. La direction de Kaseya vient de publier un avis officiel exhortant les clients à fermer tous leurs serveurs VSA sur site pour freiner la propagation du malware. Alors que l'entreprise a trouvé moins d'une soixantaine de clients concernés, ces derniers entretiennent des relations d'affaires avec de nombreuses autres entreprises sur la ligne, ce qui porte le nombre total d'entreprises concernées à une estimation d'environ 1 500.

La veille du 4 juillet – Coïncidence ou coup calculé ?

Les chercheurs en sécurité pensent que le moment de l'attaque – le vendredi 2 juillet – était intentionnel étant donné que la plupart des services commerciaux, y compris les services informatiques, ont généralement réduit leurs effectifs avant et pendant les jours fériés. John Hammond de Huntress Labs, qui a découvert l'attaque, a signalé au moins quatre fournisseurs de services gérés infectés, chacun d'entre eux fournissant des services d'hébergement d'infrastructure informatique à de nombreuses autres entreprises. Le caractère de chaîne d'approvisionnement de l'attaque a un énorme potentiel de dommages car ses victimes ultimes sont les petites et moyennes entreprises qui dépendent entièrement de la sécurité de leurs fournisseurs. Une fois que ces derniers ont subi une brèche, celle-ci se propage comme une traînée de poudre parmi leurs clients professionnels en aval de la chaîne.

Patch et mesures préventives (à compter du 6 juillet à 12 h 00 HAE)

Les responsables de Kaseya ont conseillé aux clients concernés de fermer leurs serveurs VSA sur site jusqu'à nouvel ordre et d'éviter de cliquer sur les URL liées aux ransomwares, promettant de développer un correctif de sécurité avant de remettre les serveurs en ligne. La société a emboîté le pas en mettant également son infrastructure VSA SaaS hors ligne. Alors que les spécialistes de la sécurité de Kaseya espèrent restaurer les services SaaS d'ici 19 h 00 HAE aujourd'hui, ils prévoient également de mettre en œuvre une série de mesures de sécurité améliorées pour minimiser le risque d'infections futures. Ces mesures vont de la mise en place :

  • Un centre d'opérations de sécurité (SOC) indépendant pour surveiller chaque serveur VSA
  • Un réseau de diffusion de contenu (CDN) supplémentaire avec un pare-feu d'application Web (WAF) correspondant pour chaque serveur VSA
  • Un outil de détection de compromis pour les clients désireux de tester leurs serveurs VSA sur site pour toute violation potentielle
  • Un correctif pour les clients VSA sur site (déjà développé, actuellement en cours de test et de validation).

Si tout se passe comme prévu, les clients VSA de Kaseya pourront mettre leurs serveurs en service dans les prochaines heures.