Une attaque de la chaîne d'approvisionnement contre Kaseya, qui propose des services à distance aux fournisseurs informatiques, peut avoir infecté des entreprises dans le monde entier.
Photo : ROB ENGELAAR/ANP/AFP (Getty Images)< p class="sc-77igqf-0 bOfvBY">Une attaque de ransomware contre la société informatique internationale Kaseya semble avoir infecté des centaines de petites entreprises qui dépendent du produit de la société, dont beaucoup sont basées aux États-Unis
vendredi, Kaseya a révélé qu'elle avait été victime d'une “attaque potentielle”, ce qui implique que les pirates ciblaient en quelque sorte les utilisateurs de son produit VSA sur site. Les clients doivent arrêter VSA « IMMÉDIATEMENT », indique une alerte.
Alors que la société a affirmé que l'attaque était « limitée à un petit nombre » de clients, la position de Kaseya dans un écosystème informatique plus large signifie que les effets de cette attaque pourraient être assez importants, ce qui pourrait en faire l'une des plus grandes attaques de ransomware de l'histoire.< /p>
Kaseya vend ses produits à des entreprises connues sous le nom de fournisseurs de services gérés (MSP), des entreprises qui fournissent des services informatiques à distance à des centaines de petites entreprises qui n'ont pas les ressources nécessaires pour mener ces processus en interne. Les MSP utilisent la plate-forme cloud VSA de Kaseya pour gérer et envoyer des mises à jour logicielles à leurs clients, ainsi que pour gérer d'autres problèmes d'utilisateurs.
Cependant, il semblerait qu'un gang de ransomware abuse de VSA en “utilisant une mise à jour malveillante” pour déployer un ransomware dans “des entreprises du monde entier”, rapporte le Record. Bien que les mécanismes exacts de l'attaque ou comment et quand elle s'est produite ne soient pas clairs, les experts en sécurité signalent que le ransomware affecte non seulement les MSP qui utilisent VSA, mais aussi leurs clients. En d'autres termes, le ransomware semble avoir infecté des centaines de petites entreprises qui dépendent des MSP pour le support informatique.
G/O Media peut recevoir une commission
Apple Watch Series 5 Stainless Steel (LTE 40mm)526 $ sur Amazon
La société de sécurité Huntress a déclaré à Gizmodo que trois de ses clients, qui sont des MSP et utilisent VSA, avaient été touchés par l'attaque et que, par conséquent, jusqu'à 200 petites entreprises qui dépendent de ces MSP avaient été touchées par le cryptage.
« Nous connaissons quatre MSP où tous les clients sont concernés : 3 aux États-Unis et un à l'étranger. Les MSP avec plus de milliers de points de terminaison sont touchés », a déclaré John Hammond, chercheur principal en sécurité chez Huntress. “Lorsqu'un MSP est compromis, nous avons la preuve qu'il s'est propagé via le VSA à tous les clients du MSP.”
Hammond a ajouté que « sur la base de tout ce que nous voyons en ce moment, nous croyons fermement que cela [est] REvil/Sodinikibi ». a utilisé un ransomware pour cibler des cibles de premier plan, notamment Apple et Acer. On pense également que c'est le gang qui a attaqué le fournisseur de viande JBS, extorquant avec succès le grand fournisseur de bœuf pour 11 millions de dollars.
L'organisme fédéral américain de surveillance de la cybersécurité, la Cybersecurity and Infrastructure Security Agency, a annoncé vendredi qu'il «prenait des mesures pour comprendre et résoudre la récente attaque de ransomware de la chaîne d'approvisionnement contre Kaseya. VSA et les multiples fournisseurs de services gérés (MSP) qui utilisent le logiciel VSA.”
” CISA encourage les organisations à consulter l'avis Kaseya et à suivre immédiatement leurs instructions pour arrêter VSA serveurs », a déclaré l'agence.
Lucas RopekPostsTwitter
Rédacteur à Gizmodo