La semaine dernière, le gang des ransomwares REvil a mené une attaque de ransomware sans précédent sur la chaîne d'approvisionnement contre les clients du produit VSA de Kaseya.
Mise à jour Juillet 6, 2021:
Même si le cybergang REvil prétend avoir infecté 1 millions de systèmes exécutant les services Kaseya, les autorités fédérales disent que le nombre d'entités infectées se compte en milliers. Environ 1,500 les systèmes seraient victimes de l'attaque. Kaseya dit également que l'attaque n'est pas une chaîne d'approvisionnement excluant la possibilité d'accéder à son infrastructure backend, mais il est plutôt basé sur les zero-days CVE-2021-30116. Les zero-days ont été exploités d'une manière qui a réussi à pousser le ransomware REvil sur les systèmes vulnérables.
Mise à jour Juillet 12, 2021:
Kaseya a publié des correctifs pour les vulnérabilités, 10 jours après l'attaque initiale. “Correction des vulnérabilités de sécurité liées à l'incident référencé ici et d'autres mises à jour pour améliorer la sécurité globale du produit,” Kaseya a dit dans son consultatif.
Kaseya VSA est un logiciel d'administrateur de système/serveur virtuel qui surveille et gère l'infrastructure des clients Kaseya. Le produit peut être fourni soit en tant que service cloud hébergé, ou via des serveurs VSA sur site.
« Le produit VSA de Kaseya a malheureusement été victime d'une cyberattaque sophistiquée. En raison de la réponse rapide de nos équipes, nous pensons que cela a été localisé à un très petit nombre de clients sur site uniquement," Kaseya a déclaré dans un communiqué. Selon l'avis, tous les serveurs VSA sur site doivent rester hors ligne jusqu'à ce que l'entreprise donne d'autres instructions concernant le moment où il est sûr de restaurer les opérations.
Comment le gang du ransomware REvil a-t-il mené l'attaque de Kaseya?
Selon une mise à jour partagée par le DIVD CSIRT, l'Institut néerlandais pour la divulgation des vulnérabilités, l'organisation avait précédemment alerté Kaseya de plusieurs vulnérabilités zero-day, connu sous l'identifiant CVE-2021-30116, dans le logiciel VSA:
Wietse Boonstra, un chercheur DIVD, a déjà identifié un certain nombre de vulnérabilités zero-day [CVE-2021-30116] qui sont actuellement utilisés dans les attaques de ransomware. Et oui, nous avons signalé ces vulnérabilités à Kaseya en vertu des directives de divulgation responsable (alias divulgation coordonnée des vulnérabilités).
Une fois que Kaseya était au courant de nos vulnérabilités signalées, nous avons été en contact et coopération constants avec eux. Lorsque les éléments de notre rapport n'étaient pas clairs, ils ont posé les bonnes questions. Aussi, des correctifs partiels ont été partagés avec nous pour valider leur efficacité. Pendant tout le processus, Kaseya a montré qu'ils étaient prêts à déployer le maximum d'efforts et d'initiatives dans cette affaire à la fois pour résoudre ce problème et pour corriger leurs clients.. Ils ont fait preuve d'un véritable engagement à faire la bonne chose. Malheureusement, nous avons été battus par REvil dans le sprint final, car ils pourraient exploiter les vulnérabilités avant même que les clients ne puissent corriger, l'organisation néerlandaise dit.
Suite aux attentats, REvil demande maintenant le paiement d'une rançon d'un montant de $70 million. En échange de la rançon, les cybercriminels promettent de publier un outil de décryptage universel qui devrait restaurer tous les systèmes endommagés par le ransomware.
Selon un article que le gang REvil a partagé sur son site de fuite de données souterrain, l'attaque contre les fournisseurs de MSP a été lancée en juillet 2. L'attaque aurait infecté plus d'un million de systèmes. "Si quelqu'un veut négocier sur le décrypteur universel - notre prix est 70,000,000$ en BTC et nous publierons publiquement un décrypteur qui décrypte les fichiers de toutes les victimes, donc tout le monde pourra se remettre d'une attaque en moins d'une heure,” le poste a dit.
en relation: Apple ciblé par REvil Gang dans un $50 Attaque d'un million de ransomwares
Que doivent faire les clients de Kaseya?
La CISA et le FBI ont récemment publié un avis, recommander le téléchargement du Outil de détection Kaseya VSA qui analyse un système, soit serveur VSA, soit point de terminaison géré, et détermine si des indicateurs de compromis sont présents.
D'autres recommandations incluent l'utilisation de l'authentification multifacteur sur chaque compte, ainsi que l'application de la MSA pour les services orientés client; la mise en œuvre de listes d'autorisation pour limiter la communication avec les capacités de surveillance et de gestion à distance aux paires d'adresses IP connues, et placer des interfaces administratives vers RMM derrière un VPN ou un pare-feu sur un réseau d'administration dédié.
Il est à noter que, dans 2019 le gang de ransomware GandCrab a utilisé une vulnérabilité vieille de quelques années dans un progiciel utilisé par des sociétés d'assistance informatique à distance pour prendre pied sur des réseaux vulnérables. La vulnérabilité a été exploitée pour accorder l'accès aux réseaux vulnérables et distribuer la charge utile du ransomware. La faille en question affecté le plugin Kaseya pour le logiciel Connectwise Manage, un produit d'automatisation de service professionnel pour le support informatique.