Certains articles de veille peuvent faire l'objet de traduction automatique.
C’était probablement Il était inévitable que les deux principales menaces de cybersécurité du jour – les attaques de la chaîne d’approvisionnement et les ransomwares – se combinent pour faire des ravages. C’est précisément ce qui s’est passé vendredi après-midi, lorsque le célèbre groupe criminel REvil a réussi à crypter les fichiers de centaines d’entreprises d’un seul coup, apparemment grâce à un logiciel de gestion informatique compromis. Et ce n’est que le tout début.
La situation est toujours en cours d’élaboration et certains détails – notamment la manière dont les attaquants ont infiltré le logiciel – restent inconnus. Mais l’impact a déjà été sévère et ne fera qu’empirer étant donné la nature des cibles. Le logiciel en question, Kaseya VSA, est populaire parmi les fournisseurs de services gérés, qui fournissent une infrastructure informatique aux entreprises qui préfèrent externaliser ce genre de choses plutôt que de les gérer elles-mêmes. Ce qui signifie que si vous réussissez à pirater un MSP, vous avez soudainement accès à ses clients. C’est la différence entre ouvrir un coffre-fort à la fois et voler le passe-partout du directeur de la banque.
Jusqu’à présent, selon la société de sécurité Huntress, REvil a piraté huit MSP. Les trois avec lesquels Huntress travaille directement représentent 200 entreprises qui ont trouvé leurs données cryptées vendredi. Il n’est pas nécessaire d’extrapoler pour voir à quel point la situation s’aggrave à partir de là, en particulier compte tenu de l’omniprésence de Kaseya.
« Kaseya est le Coca-Cola de la gestion à distance », déclare Jake Williams, directeur technique de la société de réponse aux incidents BreachQuest. « Comme nous entrons dans un week-end férié, nous ne saurons même pas combien de victimes sont là avant mardi ou mercredi de la semaine prochaine. Mais c’est monumental ».
Le pire des deux mondes
Les MSP sont depuis longtemps une cible populaire, en particulier pour les pirates des États. Les frapper est un moyen terriblement efficace d’espionner, si vous pouvez le gérer. Comme l’a montré un acte d’accusation du ministère de la Justice en 2018, les espions d’élite chinois d’APT10 ont utilisé des compromissions de MSP pour voler des centaines de gigaoctets de données dans des dizaines d’entreprises. REvil a déjà ciblé les MSP auparavant, en utilisant son pied dans une société informatique tierce pour détourner 22 municipalités du Texas en même temps en 2019.
Les attaques de la chaîne d’approvisionnement sont également devenues de plus en plus courantes, notamment lors de la campagne dévastatrice de SolarWinds l’année dernière, qui a permis à la Russie d’accéder à plusieurs agences américaines et à d’innombrables autres victimes. Comme les attaques de MSP, les piratages de la chaîne d’approvisionnement ont également un effet multiplicatif ; souiller une mise à jour logicielle peut faire des centaines de victimes.
Vous pouvez donc commencer à comprendre pourquoi une attaque de la chaîne d’approvisionnement qui cible les MSP a des conséquences potentiellement exponentielles. Ajoutez à cela un ransomware qui paralyse le système, et la situation devient encore plus intenable. Cela nous rappelle l’attaque dévastatrice de NotPetya, qui a également utilisé une chaîne d’approvisionnement compromise pour diffuser ce qui, à première vue, ressemblait à un ransomware, mais qui était en réalité une attaque d’État perpétrée par la Russie. Une campagne russe plus récente vient également à l’esprit.
« C’est SolarWinds, mais avec un ransomware », déclare Brett Callow, analyste des menaces chez l’éditeur d’antivirus Emsisoft. « Lorsqu’un seul MSP est compromis, cela peut avoir un impact sur des centaines d’utilisateurs finaux. Et dans ce cas, il semble que plusieurs MSP aient été compromis, donc … »
Williams de BreachQuest indique que REvil semble demander aux entreprises victimes l’équivalent d’environ 45 000 dollars en crypto-monnaie Monero. Si elles ne paient pas dans un délai d’une semaine, la demande est doublée. Le site d’information sur la sécurité BleepingComputer rapporte que REvil a demandé à certaines victimes 5 millions de dollars pour une clé de décryptage qui déverrouille « tous les PC de votre réseau crypté », ce qui pourrait viser spécifiquement les MSP plutôt que leurs clients.
« Nous parlons souvent des MSP qui sont le vaisseau-mère de nombreuses petites et moyennes entreprises et organisations », déclare John Hammond, chercheur principal en sécurité chez Huntress. « Mais si c’est Kaseya qui est touché, les mauvais acteurs viennent de compromettre tous leurs vaisseaux mères ».
Poster un commentaire