Une violation de ransomware dans une entreprise informatique de Floride frappe 200 entreprises

Contenu de l’article

WASHINGTON — Des centaines d’entreprises américaines ont été touchées vendredi par une attaque de ransomware inhabituellement sophistiquée qui a détourné un logiciel de gestion de technologie largement utilisé d’un fournisseur basé à Miami appelé Kaseya.

Les attaquants ont modifié un outil Kaseya appelé VSA, utilisé par les entreprises qui gèrent la technologie dans les petites entreprises. Ils ont ensuite chiffré simultanément les fichiers des clients de ces fournisseurs.

La société de sécurité Huntress a déclaré qu’elle suivait huit fournisseurs de services gérés qui avaient été utilisés pour infecter quelque 200 clients.

Contenu de l’article

Kaseya a déclaré sur son propre site Web qu’il enquêtait sur une « attaque potentielle » contre VSA, qui est utilisé par les professionnels de l’informatique pour gérer les serveurs, les ordinateurs de bureau, les périphériques réseau et les imprimantes.

Il a déclaré qu’il avait fermé une partie de son infrastructure en réponse et qu’il exhortait les clients qui utilisaient VSA dans leurs locaux à éteindre immédiatement leurs serveurs.

« Il s’agit d’une attaque de chaîne d’approvisionnement colossale et dévastatrice », a déclaré le chercheur principal en sécurité de Huntress, John Hammond, dans un e-mail, faisant référence à une technique de piratage de plus en plus médiatisée consistant à détourner un logiciel pour compromettre des centaines ou des milliers d’utilisateurs à la fois.

Hammond a ajouté que parce que Kaseya est connecté à tout, des grandes entreprises aux petites entreprises, « il a le potentiel de s’étendre à n’importe quelle taille ou échelle d’entreprise ». De nombreux fournisseurs de services gérés utilisent VSA, bien que leurs clients ne le réalisent peut-être pas, ont déclaré les experts.

Contenu de l’article

Certains employés de fournisseurs de services ont déclaré sur des forums de discussion que leurs clients avaient été touchés avant d’avoir pu leur envoyer un avertissement.

Reuters n’a pas été en mesure de joindre un représentant de Kaseya pour obtenir d’autres commentaires. Huntress a déclaré qu’il pensait que le gang de ransomware REvil lié à la Russie – le même groupe d’acteurs accusé par le FBI d’avoir paralysé l’emballeur de viande JBS le mois dernier – était à l’origine de la dernière épidémie de ransomware.

DEMANDES DE RANÇON

Un responsable de la sécurité privée travaillant sur l’effort de réponse a déclaré que les demandes de rançon accompagnant le cryptage allaient de quelques milliers de dollars à 5 millions de dollars ou plus.

La corruption d’un processus de mise à jour montre une escalade marquée de la sophistication de la plupart des attaques de ransomware, qui tirent parti des failles de sécurité telles que les mots de passe courants sans authentification à deux facteurs.

Contenu de l’article

Un e-mail envoyé aux pirates pour obtenir des commentaires n’a pas été immédiatement renvoyé. Dans un communiqué, l’Agence américaine de cybersécurité et de sécurité des infrastructures a déclaré qu’elle « prenait des mesures pour comprendre et résoudre la récente attaque de ransomware de la chaîne d’approvisionnement » contre le produit VSA de Kaseya.

Les attaques de la chaîne d’approvisionnement se sont glissées au sommet de l’agenda de la cybersécurité après que les États-Unis ont accusé des pirates informatiques d’opérer sous la direction du gouvernement russe et de falsifier un outil de surveillance de réseau conçu par la société de logiciels texane SolarWinds.

Kaseya compte 40 000 clients pour ses produits, bien que tous n’utilisent pas l’outil concerné. (Reportage de Raphael Satter et Joseph Menn à San Francisco ; édité par Leslie Adler, Aurora Ellis et Alistair Bell)