La dernière d’une série de cyberattaques graves a touché plus de 1 000 entreprises dans le monde. Voici ce que nous savons jusqu’à présent.
Vendredi 2 juillet, une attaque de ransomware majeure aux États-Unis a frappé plusieurs fournisseurs de services gérés, affectant plus de 1 000 entreprises.
Les personnes concernées comprennent les écoles, les petits organismes du secteur public, les agences de voyages, les coopératives de crédit et les comptables.
La conseillère adjointe à la sécurité nationale de la Maison Blanche pour la cybersécurité et les technologies émergentes, Anne Neuberger, a déclaré dans un communiqué que le FBI et la branche cybernétique du Department of Homeland Security « contacteront les victimes identifiées pour leur fournir une assistance sur la base d’une évaluation du risque national ».
Alors que l’attaque a commencé aux États-Unis, la nature de l’attaque a touché des entreprises du monde entier, y compris la chaîne d’épicerie suédoise Coop, qui a fermé la totalité de ses 800 magasins. En effet, un outil utilisé pour mettre à jour ses caisses de paiement à distance a été affecté par l’attaque.
L’attaque est la dernière d’une série d’attaques de ransomware sévères qui attirent l’attention mondiale, notamment un important gazoduc, le plus grand producteur de viande au monde et le Health Service Executive (HSE) d’Irlande.
Que s’est-il passé?
L’attaque a commencé chez Kaseya, un fournisseur de logiciels basé à Miami. Vendredi, la société a signalé une « attaque sophistiquée » contre son logiciel VSA, un ensemble d’outils utilisés par les services informatiques pour gérer et surveiller les ordinateurs à distance.
Les cybercriminels responsables de l’attaque ont découvert une vulnérabilité dans la chaîne d’approvisionnement de Kaseya et ont utilisé un programme de protection contre les logiciels malveillants pour fournir du code de ransomware à d’autres entreprises qui utilisent le logiciel Kaseya.
Alors que Kaseya pensait initialement qu’environ 40 clients avaient été directement touchés, l’attaque s’est propagée davantage parce que ses clients incluent des fournisseurs de services gérés (MSP) qui utilisent le logiciel pour desservir des centaines de petites entreprises.
Selon la société de cybersécurité Huntress Labs, jusqu’à 30 MSP aux États-Unis, en Australie, dans l’UE et en Amérique latine ont été touchés, ce qui signifie que plus de 1 000 clients de ces MSP ont également été touchés par le piratage.
Selon ESET, la majorité des rapports proviennent du Royaume-Uni, d’Afrique du Sud, du Canada, d’Allemagne, des États-Unis et de Colombie.
Kaseya a informé ses clients que tous les serveurs VSA sur site doivent rester hors ligne et a déclaré qu’un correctif devra être installé avant de redémarrer le VSA.
Dans sa dernière mise à jour de sécurité, la société a également déclaré avoir été informée par des experts externes que les clients qui ont rencontré des ransomwares et reçoivent des communications des attaquants ne devraient pas cliquer sur des liens car ils pourraient être armés.
Qui est responsable?
L’attaque proviendrait de REvil, un cybergang de ransomware en tant que service. Sur son blog Web sombre, REvil a revendiqué la responsabilité de l’attaque, affirmant que son attaque avait infecté plus d’un million de systèmes.
Le gang a une structure d’affiliation, ce qui rend parfois difficile de déterminer qui parle au nom des cybercriminels.
Les attaques précédentes attribuées à REvil ou à ses filiales incluent une épidémie de ransomware en 2019 qui a touché plus de 20 gouvernements locaux au Texas et l’attaque plus récente contre JBS Foods, le plus grand producteur de viande au monde.
Quelle rançon est demandée ?
REvil a demandé une rançon de 70 millions de dollars pour un outil de décryptage universel promettant de décrypter les fichiers de toutes les victimes en moins d’une heure. Si elle est payée, la demande pourrait devenir le paiement de ransomware le plus élevé jamais effectué.
Cependant, le paiement de rançons n’est pas conseillé. En effet, cela permet essentiellement à des cyberattaques comme celle-ci de tirer profit, d’encourager de nouvelles attaques et de cibler l’entreprise qui a accepté d’accéder à la demande.
En fait, selon une étude de la société d’infosec Cybereason, 80 % des organisations qui ont choisi de payer une demande de rançon ont subi une deuxième attaque de ransomware, souvent de la part du même groupe d’acteurs menaçants.
De plus, rien ne garantit que les cybergangs tiendront leurs promesses même si la rançon est payée.
Selon un récent rapport de la société de logiciels de sécurité Sophos, 92 % des entreprises qui choisissent de payer une rançon ont demandé à ne pas récupérer leurs données.
Même lorsque des outils de décryptage sont fournis, le coût et le temps nécessaires pour restaurer les systèmes avec une attaque de grande envergure comme celle-ci peuvent être énormes.
Dans le cas de l’attaque de ransomware contre le HSE le 14 mai dernier, un outil de décryptage a été mis à disposition une semaine après l’attaque. À l’heure actuelle, 80 % des serveurs et appareils HSE ont été restaurés.
S’exprimant lors d’un comité mixte d’Oireachtas sur la santé le 23 juin, le PDG de HSE, Paul Reid, a déclaré qu’il faudrait des mois avant que les systèmes ne soient entièrement restaurés et que les coûts immédiats soient « bien supérieurs à 100 millions d’euros ».
« Le décryptage prend beaucoup plus de temps que le cryptage d’origine, et l’éradication implique des tâches supplémentaires pour s’assurer que les auteurs n’ont aucune voie d’accès vers nos systèmes. »
Que fait-on pour résoudre le problème ?
Dans sa dernière mise à jour de sécurité, Kaseya a déclaré que ses équipes travaillaient « 24 heures sur 24 dans toutes les zones géographiques » pour remettre ses clients en service.
« Nous avons terminé avec succès une analyse de vulnérabilité externe, vérifié nos bases de données SaaS à la recherche d’indicateurs de compromission et demandé à des experts en sécurité externes de revoir notre code pour garantir un redémarrage réussi du service. »
Il n’a actuellement pas de calendrier pour la remise en ligne de ses centres de données, mais il prévoit de commencer le processus de restauration d’ici la fin de la journée (5 juillet).
« Une fois que nous aurons commencé le processus de restauration du centre de données SaaS », a-t-il déclaré dans sa dernière mise à jour, « nous publierons le calendrier de distribution du correctif pour les clients sur site ».
La société a également annoncé qu’elle avait embauché la société de cybersécurité FireEye pour l’aider à faire face aux retombées.
Kaseya a déclaré que certaines fonctionnalités VSA héritées légèrement utilisées seront supprimées par « excès de prudence ».
Il a également déclaré que de nouvelles mesures de sécurité seraient mises en œuvre, notamment une surveillance renforcée de la sécurité de ses serveurs SaaS par FireEye.