Une cyberattaque « colossale » frappe des centaines d’entreprises américaines

Une attaque de ransomware a paralysé les réseaux d’au moins 200 entreprises américaines vendredi, selon un chercheur en cybersécurité dont l’entreprise répondait à l’incident.

Le gang REvil, un important syndicat de ransomware russophone, semble être à l’origine de l’attaque, a déclaré John Hammond de la société de sécurité Huntress Labs. Il a déclaré que les criminels avaient ciblé un fournisseur de logiciels appelé Kaseya, utilisant son package de gestion de réseau comme moyen de diffuser le ransomware via des fournisseurs de services cloud. D’autres chercheurs étaient d’accord avec l’évaluation de Hammond.

“Kaseya gère les grandes entreprises jusqu’aux petites entreprises dans le monde entier, donc en fin de compte, (cela) a le potentiel de s’étendre à n’importe quelle taille ou échelle d’entreprise”, a déclaré Hammond dans un message direct sur Twitter. « Il s’agit d’une attaque colossale et dévastatrice de la chaîne d’approvisionnement. »

De telles cyberattaques infiltrent généralement des logiciels largement utilisés et propagent des logiciels malveillants lors de leur mise à jour automatique.

On ne savait pas immédiatement combien de clients Kaseya pourraient être touchés ou qui ils pourraient être. Kaseya a exhorté les clients dans une déclaration publiée sur son site Web à fermer immédiatement les serveurs exécutant le logiciel concerné. Il a déclaré que l’attaque était limitée à un “petit nombre” de ses clients.

Brett Callow, un expert en ransomware de la société de cybersécurité Emsisoft, a déclaré qu’il n’était au courant d’aucune attaque de chaîne d’approvisionnement de ransomware à cette échelle. Il y en a eu d’autres, mais ils étaient assez mineurs, a-t-il déclaré.

“C’est SolarWinds avec un ransomware”, a-t-il déclaré. Il faisait référence à une campagne de piratage de cyberespionnage russe découverte en décembre qui s’est propagée en infectant des logiciels de gestion de réseau pour infiltrer les agences fédérales américaines et des dizaines d’entreprises.

Le chercheur en cybersécurité Jake Williams, président de Rendition Infosec, a déclaré qu’il travaillait déjà avec six entreprises touchées par le ransomware. Ce n’est pas un hasard si cela s’est produit avant le week-end du 4 juillet, lorsque le personnel informatique est généralement restreint, a-t-il ajouté.

“Il n’y a aucun doute dans mon esprit que le moment choisi ici était intentionnel”, a-t-il déclaré.

Hammond of Huntress a déclaré qu’il était au courant que quatre fournisseurs de services gérés – des entreprises qui hébergent une infrastructure informatique pour plusieurs clients – étaient touchés par le ransomware, qui crypte les réseaux jusqu’à ce que les victimes paient les attaquants. Il a dit que des milliers d’ordinateurs ont été touchés.

“Nous avons actuellement trois partenaires Huntress qui sont impactés par environ 200 entreprises qui ont été cryptées”, a déclaré Hammond.

Hammond a écrit sur Twitter : « Sur la base de tout ce que nous voyons en ce moment, nous croyons fermement qu’il s’agit de REvil/Sodinikibi. Le FBI a lié le même fournisseur de ransomware à une attaque en mai contre JBS SA, un important transformateur mondial de viande.

L’Agence fédérale de cybersécurité et de sécurité des infrastructures a déclaré vendredi soir dans un communiqué qu’elle surveillait de près la situation et travaillait avec le FBI pour recueillir plus d’informations sur son impact.

CISA a exhorté toute personne susceptible d’être affectée à “suivre les conseils de Kaseya pour arrêter immédiatement les serveurs VSA”. Kaseya exécute ce qu’on appelle un administrateur système virtuel, ou VSA, qui est utilisé pour gérer et surveiller à distance le réseau d’un client.

La société privée Kaseya dit qu’elle est basée à Dublin, en Irlande, avec un siège américain à Miami. Le Miami Herald l’a récemment décrite comme « l’une des plus anciennes entreprises technologiques de Miami » dans un rapport sur son intention d’embaucher jusqu’à 500 travailleurs d’ici 2022 pour doter une plate-forme de cybersécurité récemment acquise.

Brian Honan, un consultant irlandais en cybersécurité, a déclaré par e-mail vendredi qu’”il s’agit d’une attaque classique de la chaîne d’approvisionnement dans laquelle les criminels ont compromis un fournisseur de confiance d’entreprises et ont abusé de cette confiance pour attaquer leurs clients”.

Il a déclaré qu’il peut être difficile pour les petites entreprises de se défendre contre ce type d’attaque, car elles “s’appuient sur la sécurité de leurs fournisseurs et sur les logiciels qu’ils utilisent”.

La seule bonne nouvelle, a déclaré Williams, de Rendition Infosec, est que « beaucoup de nos clients n’ont pas Kaseya sur chaque machine de leur réseau », ce qui rend plus difficile pour les attaquants de se déplacer dans les systèmes informatiques d’une organisation.

Cela facilite la récupération, a-t-il déclaré.

Actif depuis avril 2019, le groupe connu sous le nom de REvil fournit un ransomware-as-a-service, ce qui signifie qu’il développe le logiciel paralysant le réseau et le loue à des soi-disant affiliés qui infectent des cibles et gagnent la part du lion des rançons.

REvil fait partie des gangs de ransomware qui volent les données des cibles avant d’activer le ransomware, renforçant ainsi leurs efforts d’extorsion. Le paiement moyen d’une rançon au groupe était d’environ un demi-million de dollars l’année dernière, a déclaré la société de cybersécurité Palo Alto Networks dans un récent rapport.

Certains experts en cybersécurité ont prédit qu’il pourrait être difficile pour le gang de gérer les négociations de rançon, étant donné le grand nombre de victimes – bien que le long week-end férié américain puisse lui donner plus de temps pour commencer à travailler sur la liste.

Laminiute