Les acteurs de la menace derrière le gang de ransomware REvil semblent avoir poussé les ransomwares via une mise à jour du logiciel de gestion informatique de Kaseya, touchant environ 40 clients dans le monde, dans ce qui est un exemple d’attaque de ransomware généralisée de la chaîne d’approvisionnement.
« À partir de midi (EST/US) le vendredi 2 juillet 2021, l’équipe de réponse aux incidents de Kaseya a appris un incident de sécurité potentiel impliquant notre logiciel VSA », a déclaré Fred Voccola, PDG de la société. mentionné dans un communiqué partagé vendredi soir.
À la suite de l’incident, la société de services informatiques et de gestion de la sécurité a déclaré avoir pris des mesures immédiates pour fermer nos serveurs SaaS par mesure de précaution, en plus d’informer ses clients sur site de fermer leurs serveurs VSA pour éviter qu’ils ne soient compromis.
Voccola a également déclaré que la société avait identifié la source de la vulnérabilité et qu’elle préparait un correctif pour atténuer les problèmes en cours. Dans l’intervalle, la société a également indiqué qu’elle avait l’intention de maintenir tous les serveurs VSA sur site, SaaS et serveurs VSA hébergés fermés jusqu’à ce qu’il soit possible de reprendre les opérations en toute sécurité.
Selon l’analyste de Sophos Malware Mark Loman, l’attaque de la chaîne d’approvisionnement à l’échelle de l’industrie tire parti Kaseya VSA pour déployer une variante du ransomware REvil dans l’environnement d’une victime, avec le binaire REvil chargé latéralement via une fausse application Windows Defender pour crypter les fichiers d’une victime.
La chaîne d’attaque implique également des tentatives pour désactiver la surveillance en temps réel de Microsoft Defender via PowerShell, a ajouté Loman. Le logiciel cheval de Troie est distribué sous la forme d’un « Kaseya VSA Agent Hot-Fix », a déclaré Huntress Labs dans un Publication Reddit détaillant le fonctionnement de la brèche.
Les chercheurs ont noté qu’ils avaient trouvé huit fournisseurs de services gérés (MSP), des entreprises qui fournissent des services informatiques à d’autres entreprises, qui avaient été touchées par l’attaque. Environ 200 entreprises desservies par ces MSP ont été exclues de certaines parties de leur réseau, a déclaré Huntress Labs.
Alors que la crise des ransomwares continue de monter en flèche, les MSP sont devenus une cible lucrative, principalement parce qu’une intrusion réussie ouvre l’accès à plusieurs clients, les rendant tous vulnérables à la fois.
