Ce week-end, le groupe de piratage de ransomware REvil a attaqué a utilisant un « ransomware » pour attaquer la société informatique américaine Kaseya. Ils ont exigé un paiement de 70 millions de dollars américains (59 millions d’euros) pour une clé de déchiffrement universelle. En effet, les pirates ont déjà succombé aux réseaux d’au moins 200 entreprises américaines.
Plus d’un million de systèmes informatiques infectés
En fait, REvil a ciblé le fournisseur de logiciels Kaseya et a utilisé son package de gestion de réseau pour distribuer des ransomwares via le cloud.
Pour rappel, Kaseya, une société de services informatiques, qui fournissait des logiciels de sécurité à de nombreux grands sous-traitants en sécurité réseau qui, à leur tour, vendait leurs services de sécurité à des milliers d’entreprises à travers le monde. C’est donc un logiciel utilisé par toute sorte d’organisations dans le monde pour la gestion des technologies de l’information et de la communication (TIC).
Après que des pirates aient piraté le serveur de Kaseya le vendredi 2 juillet, ils ont pu rapidement pirater les systèmes d’au moins 40 sous-traitants en sécurité réseau. À partir de là, ils ont infecté des centaines d’entreprises avec des ransomwares au cours du week-end.
Une demande de rançon de 70 millions de dollars
La rançon a été publiée dimanche sur un blog couramment utilisé par la principale organisation russe de ransomware REvil. Celui de Kaseya est la dernière vague d’attaques de ransomware et considérer comme la plus importante des attaques.
L’organisation demande maintenant une rançon de 70 millions de dollars pour libérer un décrypteur universel qui peut déverrouiller tous les systèmes paralysés par un ransomware de cryptage de fichiers. Le groupe de ransomware basé en Russie exige désormais le bitcoin avec le montant mentionné.
La multiplication des attaques de ramsoware
REvil est l’un des nombreux groupes de rançongiciels bénéficiant d’une impunité relative en dehors de la Russie, où les autorités ferment généralement les yeux sur les pirates informatiques tant qu’ils concentrent le vol sur les opposants géopolitiques du régime.
En mai, REvil a attaqué Colonial Pipeline et a réussi à faire payer à l’entreprise une rançon de 5 millions de dollars après la suppression de ses fonctions et services, déclenchant la crise du gaz aux États-Unis.
JBS Holdings, la plus grande entreprise de viande au monde en termes de ventes, a également été attaquée par le même groupe le 30 mai et a payé une rançon de 11 millions de dollars.
Ce week-end, Kaseya a insisté pour que tous les serveurs VSA locaux restent hors ligne jusqu’à nouvel ordre. La société à déclaré avoir utilisé FireEye et déclaré que son équipe de R&D « a répliqué le vecteur d’attaque et s’efforce de l’atténuer » et « a commencé le processus de correction du code ».
L’entreprise doit fournir un calendrier détaillé pour revenir progressivement à la normale aujourd’hui, et insiste sur le fait que ses clients SaaS n’ont pas à s’inquiéter.
Le président Joe Biden fait face à une pression croissante pour répondre à l’escalade des cyberattaques, et a insinué l’implication des Russes. Il a cependant demandé aux agences de renseignement d’enquêter sur l’attaque samedi. Bien que le gouvernement américain s’oppose fermement aux demandes de rançon des entreprises, de nombreuses entreprises n’ont pas le choix, car les données cryptées sont essentielles pour assurer le bon fonctionnement des opérations.
Auteur/autrice
