C’était probablement Il est inévitable que les deux plus grandes menaces de cybersécurité du jour – attaques de la chaîne d’approvisionnement et ransomware, se combineraient pour faire des ravages. C’est exactement ce qui s’est passé vendredi après-midi, lorsque le célèbre groupe criminel REvil a réussi à chiffrer les fichiers de centaines d’entreprises d’un seul coup, apparemment grâce à un logiciel de gestion informatique compromis. Et ce n’est que le début.
La situation évolue toujours et certains détails, notamment comment les attaquants ont infiltré le logiciel, restent inconnus. Mais l’impact a déjà été sévère et ne fera que s’aggraver compte tenu de la nature des objectifs. Le logiciel en question, Kaseya VSA, est populaire auprès des fournisseurs de services dits gérés, qui fournissent l’infrastructure informatique aux entreprises qui préfèrent externaliser ce genre de choses plutôt que de les gérer elles-mêmes. Cela signifie que si vous réussissez à pirater un MSP, vous avez soudainement accès à ses clients. C’est la différence entre s’introduire dans les coffres-forts un à la fois et voler le passe-partout du directeur de banque.
Jusqu’à présent, selon la société de sécurité Huntress, REvil a piraté huit MSP. Les trois collaborations de Huntress représentent directement 200 entreprises qui ont trouvé leurs données cryptées vendredi. Il ne faut pas beaucoup d’extrapolation pour voir à quel point cela va pire à partir de là, surtout compte tenu de l’omniprésence de Kaseya.
« Kaseya est le Coca-Cola de la gestion à distance », déclare Jake Williams, directeur de la technologie de la société de réponse aux incidents BreachQuest. « Comme nous partons en week-end de vacances, nous ne saurons même pas combien de victimes il y a là-bas avant mardi ou mercredi de la semaine prochaine. Mais c’est monumental ».
Le pire des deux mondes
Les MSP sont depuis longtemps une cible populaire, en particulier des pirates informatiques des États-nations. Les frapper est un moyen extraordinairement efficace d’espionner, si vous pouvez le gérer. Comme l’a montré un acte d’accusation du DOJ en 2018, Les espions chinois d’APT10 ont utilisé des compromis MSP pour voler des centaines de gigaoctets de données à des dizaines d’entreprises. REvil a également ciblé les MSP auparavant, en utilisant sa présence dans une société informatique tierce pour détourner 22 municipalités du Texas simultanément en 2019.
Les attaques de la chaîne d’approvisionnement sont également devenues de plus en plus courantes, en particulier dans le campagne dévastatrice de SolarWinds l’année dernière, ce qui a permis à la Russie d’accéder à davantage d’agences américaines et à d’innombrables autres victimes. Comme les attaques MSP, les piratages de la chaîne d’approvisionnement ont également un effet multiplicateur ; contaminer une mise à jour logicielle peut faire des centaines de victimes.
Vous pouvez alors commencer à comprendre pourquoi une attaque de la chaîne d’approvisionnement ciblant les MSP a des conséquences potentiellement exponentielles. Ajoutez un ransomware paralysant à votre système et la situation devient encore plus insupportable. Souvenez-vous de l’attaque dévastatrice NotPetya, qui a également utilisé un compromis sur la chaîne d’approvisionnement pour diffuser ce qui ressemblait initialement à un ransomware, mais qui était en fait une attaque contre un État-nation perpétrée par la Russie. Une campagne russe plus récente vient également à l’esprit.
« C’est SolarWinds, mais avec un ransomware », déclare Brett Callow, analyste des menaces chez la société antivirus Emsisoft. « Lorsqu’un seul MSP est compromis, cela peut avoir un impact sur des centaines d’utilisateurs finaux. Et dans ce cas, il semble que davantage de MSP aient été compromis, alors … «
Williams de BreachQuest dit que REvil semble demander aux entreprises victimes l’équivalent d’environ 45 000 $ en crypto-monnaie Monero. S’ils ne paient pas dans la semaine, la demande double. BleepingSite d’actualités sur la sécurité informatique des relations que REvil a demandé 5 millions de dollars à certaines victimes pour une clé de décryptage qui déverrouille « tous les PC de votre réseau crypté », qui pourrait cibler spécifiquement les MSP plutôt que leurs clients.
« Nous disons souvent que les MSP sont le vaisseau-mère de nombreuses petites et moyennes entreprises et organisations », explique John Hammond, chercheur principal en sécurité chez Huntress. « Mais si Kaseya est ce qui est touché, les mauvais acteurs viennent de compromettre tous leurs vaisseaux-mères. »
