Le ransomware REvil s’attaque à Kaseya et à ses nombreux clients
L'éditeur américain Kaseya a été victime d'une attaque informatique vendredi 2 juillet 2021. Cette attaque cible son logiciel de gestion d'infrastructures informatiques : VSA, utilisé par des milliers d'entreprises et des MSP. Cette situation me fait penser à une autre attaque qui a fait beaucoup de bruits il y a plusieurs mois : celle de SolarWinds.
VSA est une solution de type Remote Monitoring Management proposée par Kaseya et particulièrement appréciée par les TPE et PME. Quelques grandes entreprises l'utilisent également et Kaseya compte des dizaines de milliers de clients.
Suite à cette attaque, pour limiter les dommages collatéraux, Kaseya a demandé à ses clients de mettre hors ligne leurs serveurs. Mettre hors ligne les serveurs n'est pas sans conséquence, par exemple, suite à cette attaque, la chaîne de supermarchés suédois Coop a été contrainte de fermer plus de 800 magasins sur la journée de samedi.
Au-delà de l'attaque en elle-même qui permet, par effet de rebond et le logiciel VSA, d'accéder à l'infrastructure de l'entreprise qui utilise ce logiciel, ce qui inquiète particulièrement c'est la présence du ransomware REvil. Qui dit ransomware, dit chiffrement des données. Il s'avère que nous avons le droit à une véritable attaque de type supply-chain.
Dans un premier temps, le serveur VSA est compromis, ce qui permet au pirate de diffuser une fausse mise à jour de l'agent VSA sur les machines associées à ce serveur. Cet agent contient une charge malveillante. Dans un second temps, cette charge malveillante va arriver sur le serveur cible par l'intermédiaire de la mise à jour de l'agent VSA. Là, différentes opérations vont s'enchaîner : désactiver de Microsoft Defender et remplacement par une version obsolète, chargement d'une DLL nommée "mpsvc.dll" sur l'hôte, etc... Pour au final, déclencher la charge utile : le ransomware REvil qui va venir chiffrer les données du serveur cible.
On comprend mieux pourquoi Kaseya a demandé à ses clients de mettre hors ligne leurs serveurs. D'autant plus que l'agent VSA malveillant ne s'arrête pas là : il continue d'agir sur la machine pour tenter de découvrir d'autres machines sur le réseau, dans le but de chiffrer d'autres machines.
Derrière cette attaque, on retrouve le groupe de pirates REVil, lié à la Russie et qui est particulièrement actif ces derniers mois. D'ailleurs, sur le site de REvil, il y a un message clair : "contre 70 millions de dollars, nous déchiffrons tout...". Quant au timing, il n'est surement pas anodin. En effet, le choix du vendredi 2 juillet 2021 correspond à la vielle d'un week-end de trois jours, qui est prévu pour célébrer la fête nationale aux États-Unis, ce qui correspond à l'Independance Day.
Actuellement, le FBI et le CISA mènent une enquête pour en savoir plus sur l'origine de cette attaque. En fait, ce qui est surprenant c'est que les chercheurs en sécurité du DIVD ont remonté une faille de sécurité à Kaseya. L'éditeur était en phase de validation d'un correctif pour ensuite le déployer à ces clients. Étonnement, le groupe REvil est parvenu à obtenir des informations sur cette faille de sécurité et à l'exploiter avant que le correctif soit déployé.
De son côté, Kaseya relance ses serveurs en mode SaaS petit à petit et les serveurs sur site vont devoir être patchés pour être redémarré en tout sécurité.