Vendredi, un flot de ransomwares a frappé des centaines d’entreprises à travers le monde. Une chaîne d’épicerie, une station de radio publique, des écoles et un système ferroviaire national ont été touchés par des logiciels malveillants de cryptage de fichiers, provoquant des perturbations et forçant des centaines d’entreprises à fermer.
Les victimes avaient un point commun : une partie essentielle du logiciel de gestion de réseau et de contrôle à distance développé par La société de technologie américaine Kaseya. La société a son siège à Miami faire un logiciel Ils sont utilisés pour gérer à distance les réseaux et les appareils informatiques d’une entreprise. Ce logiciel est vendu à des prestataires de services managés – les directions informatiques qu’ils sous-traitent – qu’ils utilisent ensuite pour gérer les réseaux de leurs clients, souvent de petites entreprises.
Mais on pense que les pirates informatiques associés au ransomware REvil associé à la Russie en tant que groupe de services ont utilisé une vulnérabilité sans précédent dans le mécanisme de mise à jour logicielle pour pousser le ransomware aux clients de Kaseya, qui à son tour s’est propagé à ses clients. . De nombreuses entreprises qui ont finalement été victimes de l’attaque ne savaient peut-être pas que leurs réseaux étaient surveillés par le logiciel Kaseya.
Kaseya a averti vendredi les clients de fermer leurs serveurs internes « immédiatement », et le service cloud a été fermé – bien qu’on ne pense pas qu’il soit affecté – par mesure de précaution.
« [Kaseya] Montrez un réel engagement à faire la bonne chose. Malheureusement, nous avons battu Revel dans la course finale. » Chercheur en sécurité Victor Jeffers
Environ 30 fournisseurs de services gérés ont été infectés, a déclaré John Hammond, chercheur en chef en sécurité chez Huntress Labs, une société de détection des menaces qui a été parmi les premières à révéler l’attaque, permettant au ransomware de se propager à « plus de 1 000 entreprises ». La société de sécurité ESET a déclaré connaître des victimes dans 17 pays, dont le Royaume-Uni, l’Afrique du Sud, le Canada, la Nouvelle-Zélande, le Kenya et l’Indonésie.
Cassie a dit lundi soir en mise à jour Qu’environ 60 clients de cassia ont été touchés, et le nombre de victimes a été estimé à moins de 1 500 entreprises.
Il est maintenant beaucoup plus clair comment les pirates ont réussi à mener l’une des plus grandes attaques de ransomware de l’histoire récente.
Des chercheurs néerlandais disent avoir découvert plusieurs vulnérabilités dans le logiciel de Kaseya dans le cadre d’une enquête sur la sécurité des outils de gestion Web. (Zero Days est ainsi nommé car il ne donne aucun jour aux entreprises pour résoudre le problème.) Des bogues ont été signalés à Kaseya et étaient en train d’être corrigés lorsque les pirates ont frappé, Victor Jeffers, qui dirige le groupe de recherche, a déclaré dans une déclaration. Article de blog.
Le PDG de Kaseya, Fred Fukulla, a déclaré Le journal de Wall Street Que ses systèmes d’entreprise n’aient pas été compromis, ce qui donne une crédibilité supplémentaire à une théorie de travail des chercheurs en sécurité selon laquelle les serveurs exploités par les clients Kaseya ont été individuellement compromis en utilisant une vulnérabilité commune.
La société a déclaré que tous les serveurs exécutant le logiciel concerné doivent rester hors ligne jusqu’à ce que le correctif soit prêt. Foukola a déclaré au journal qu’elle s’attend à publier les corrections d’ici lundi soir.
L’attaque a commencé en fin d’après-midi de vendredi, alors que des millions d’Américains vérifiaient le long week-end du 4 juillet. Adam Myers, vice-président senior du renseignement chez CrowdStrike, a déclaré que l’attaque avait été soigneusement programmée.
« Ne vous y trompez pas, le moment et la cible de cette attaque ne sont pas une coïncidence. Cela illustre ce que nous appelons une attaque de chasse au gros gibier, lancée dans le but de maximiser l’impact et les profits tout au long de la chaîne d’approvisionnement au cours du week-end lorsque les défenses commerciales sont perturbées. » dit Myers.
Un avis publié ce week-end sur un site Web sombre connu pour être exploité par REvil a revendiqué la responsabilité de l’attaque et que le groupe de ransomware publierait publiquement un outil de décryptage si 70 millions de dollars en bitcoins étaient payés.
Dans la publication, le groupe a affirmé que « plus d’un million de systèmes ont été infectés par le virus ».
« Wannabe passionné de télévision. Passionné de culture pop certifié. Chercheur de Twitter. Étudiant amateur. »
More Stories
Un avion Boeing de Delta Air Lines a perdu un dérapage d'urgence en vol après le décollage de l'aéroport JFK
Le Guizhou coloré visite la France, actualité économique
Qu'est-ce qu'un « salaire décent » ? Le français Michelin suscite la polémique.