James Martin/Camaraderielimited
À la suite des récentes attaques de ransomware qui ont détruit un important gazoduc et un important transformateur de viande aux États-Unis, une nouvelle attaque a fait surface, frappant cette fois une entreprise basée à Miami qui fournit des outils de gestion technique à des clients du monde entier.
Des centaines d’entreprises, dont un chemin de fer, une chaîne de pharmacies et une chaîne d’épicerie en Suède, ont été directement touchées par l’attaque de la chaîne d’approvisionnement contre la société de logiciels Kaseya, qui a continuellement publié des alertes sur son site depuis vendredi. Mais encore plus d’entreprises – au moins 36 000 – ont été indirectement affectées par l’attaque car Kaseya a conseillé à tous ses clients de mettre les serveurs hors ligne vendredi et ne leur a pas encore donné le feu vert pour se remettre en ligne.
Dimanche après-midi, Kaseya a annoncé qu’elle tenterait de remettre les serveurs en ligne pendant la nuit au Royaume-Uni, en Europe et en Asie, puis de faire de même en Amérique du Nord lundi après-midi.
Kaseya a publié samedi soir un outil de détection de compromission auprès de près de 900 clients qui l’ont demandé, a indiqué la société dimanche matin dans une alerte. Kaseya a noté dimanche qu’il n’avait reçu aucun nouveau rapport de compromis depuis samedi. La société travaille à la fois avec le FBI et l’Agence américaine de cybersécurité et d’infrastructure pour enquêter sur l’attaque.
« Nous sommes en train de formuler un retour en service échelonné de nos fermes de serveurs SaaS avec des fonctionnalités restreintes et une posture de sécurité plus élevée (estimée dans les prochaines 24 à 48 heures mais qui est susceptible de changer) sur une base géographique », a déclaré la société. a noté dimanche matin, faisant référence aux fermes de serveurs Software as a Service.
L’attaque implique un produit Kaseya appelé VSA, qui permet entre autres aux petites et moyennes entreprises de surveiller à distance leurs systèmes informatiques et de s’occuper automatiquement de la maintenance de routine des serveurs et des mises à jour de sécurité.
« Nous sommes en fait convaincus à 100% que nous savons comment cela s’est produit, et nous y avons remédié », a déclaré le PDG de Kaseya, Fred Voccola, à Good Morning America dimanche matin.
REvil, le groupe de piratage lié à la Russie à l’origine de l’attaque contre le transformateur de viande JBS, est lié à l’attaque de Kaseya, a rapporté le Wall Street Journal. Les sociétés de sécurité Huntress Labs et Sophos Labs ont également signalé REvil.
Restez au courant. Recevez les dernières histoires technologiques de Camaraderielimited News tous les jours de la semaine.
Moins de 40 clients ont été directement touchés par la cyberattaque, a déclaré Voccola au New York Times, mais certaines de ces entreprises sont des fournisseurs de services gérés qui fournissent des outils informatiques à des centaines d’entreprises. Le Times a déclaré que l’une des plus grandes chaînes d’épicerie de Suède, Coop, avait dû fermer au moins 800 de ses magasins en raison de l’attaque.
Certaines des victimes ont reçu des demandes de rançon de 5 millions de dollars, a rapporté le Times.
« Nous avons été informés par nos experts externes, que les clients qui ont subi des ransomwares et reçoivent des communications des attaquants ne doivent cliquer sur aucun lien – ils peuvent être armés », a déclaré Kaseya samedi dans une alerte.
Les attaques de ransomware, où les pirates piratent les systèmes et détiennent les réseaux et les données contre rançon, sont devenues un phénomène de plus en plus alarmant. En juin, JBS, l’un des plus grands producteurs de viande aux États-Unis, a payé une rançon de 11 millions de dollars pour une attaque qui a temporairement détruit ses usines de transformation. Et en mai, Colonial Pipeline a révélé qu’il avait dû fermer le pipeline principal transportant du gaz vers la côte est densément peuplée en raison d’une attaque. Colonial a versé aux pirates une rançon de 4,4 millions de dollars, bien que le ministère de la Justice ait déclaré plus tard qu’il avait récupéré une partie du paiement.
Outre l’impact financier, ces attaques, qui ont également touché des hôpitaux, des banques et des administrations municipales, ont suscité des inquiétudes quant à la vulnérabilité des infrastructures critiques. Peu de temps après que l’attaque du Colonial Pipeline est devenue publique, le président Joe Biden a signé un décret visant à améliorer les défenses américaines en matière de cybersécurité. L’administration Biden a également déclaré qu’elle prévoyait de lancer un groupe de travail visant à réprimer les pirates informatiques qui utilisent des ransomwares.
Et lors du sommet de Biden le mois dernier avec le président russe Vladimir Poutine, l’un des principaux sujets de discussion était les cyberattaques contre les infrastructures critiques, qu’elles soient lancées par des États-nations ou des gangs de piratage à l’intérieur de leurs frontières.
Biden a demandé aux agences de renseignement d’examiner la question, a rapporté Reuters.
« La pensée initiale était que ce n’était pas le gouvernement russe mais nous n’en sommes pas encore sûrs », a déclaré Biden aux journalistes samedi. « Si c’est en connaissance de cause et/ou en conséquence de la Russie, j’ai dit à Poutine que nous répondrons », a déclaré Biden, faisant référence au sommet de juin. Biden a déclaré qu’il serait informé de l’attaque de Kaseya dimanche.
Dimanche après-midi, Anne Neuberger, conseillère adjointe à la sécurité nationale pour la cybersécurité et les technologies émergentes, a déclaré dans un communiqué que Biden avait « dirigé toutes les ressources du gouvernement pour enquêter sur cet incident ». La déclaration n’a pas offert d’évaluation sur la source de l’attaque.
L’ambassade de Russie à Washington n’a pas répondu à une demande de commentaire.
Interrogé sur des informations supplémentaires sur l’attaque, Kaseya a déclaré qu’il partageait ses dernières mises à jour sur son site Web et via les médias sociaux. Le FBI a demandé aux victimes de signaler l’attaque à son Internet Crime Complaint Center. Le FBI et l’Agence américaine de cybersécurité et d’infrastructure ont également publié conjointement une liste détaillée des actions que les clients de Kaseya devraient prendre, notamment celles liées à l’authentification multifacteur, à la surveillance et à la gestion à distance, aux réseaux privés virtuels et à la gestion manuelle des correctifs. La déclaration conjointe n’incluait pas leur propre évaluation de la source de l’attaque, mais renvoyait à des sites pointant spécifiquement vers REvil.
Natalie Weinstein de Camaraderielimited a contribué à ce rapport.
