L’attaque de ransomware du 4 juillet pourrait être la plus importante du genre

Une attaque de ransomware par le gang russe REvil à la veille du week-end du 4 juillet pourrait finir par être encore plus importante que la dernière attaque Vents solaires Hack, a déclaré un expert israélien en cybersécurité Poste de Jérusalem.

Kaseya fournit des outils de gestion informatique à environ 40 000 clients dans le monde. La société a déclaré que REvil n’était en mesure de cibler qu’environ 40 de ses clients, mais que certains d’entre eux sont des fournisseurs de services gérés (MSP) qui peuvent travailler avec des centaines d’entreprises chacun. « Cela signifie que la distribution virale de cette chose va être massive », a déclaré Ben Ari. « Ce qui a été signalé jusqu’à présent, c’est que plus d’un millier d’entreprises ont été touchées, y compris certaines chaînes, comme l’épicerie suédoise Coop, qui ont été contraintes de fermer plus de 800 magasins. Leurs systèmes sont littéralement en panne. »

Ben Ari a déclaré que cette attaque diffère considérablement de la récente attaque SolarWinds, qui a exposé des données sensibles de bureaux gouvernementaux et de milliers d’entreprises privées dans ce qui pourrait être la plus grande violation de sécurité jamais vue. Dans cette attaque, les entreprises sont tenues de payer une rançon importante – jusqu’à 50 000 $ par employé et par entreprise dans certains cas. « Si vous multipliez simplement les nombres, l’échelle sera énorme », a-t-il déclaré.

Le gouvernement américain préfère que les entreprises ne donnent pas d’argent à leurs attaquants afin de ne pas les inciter à en faire plus, mais de nombreuses victimes de ransomwares d’entreprise concluent que le coût de la résistance est bien supérieur au coût de paiement.

Le mois dernier, JBS, l’un des plus grands producteurs de viande des États-Unis, a payé une rançon de 11 millions de dollars après qu’une attaque similaire a interrompu les opérations de certaines de ses plus grandes installations. (Le FBI a également blâmé REvil pour cette attaque.) Et en mai, Colonial Pipeline, l’un des plus grands fournisseurs de gaz américain, a été contraint d’arrêter de livrer du gaz à la côte est jusqu’à ce qu’il paie 4,4 millions de dollars aux pirates pour se remettre en ligne.

« REvil est uniquement intéressé à obtenir de l’argent et, comme d’autres groupes de ransomware russes, serait parrainé par le gouvernement russe, bien que cela n’ait pas été prouvé », a déclaré Ben Ari. « Ce n’est pas un hasard si cette attaque a eu lieu à la veille des vacances du 4 juillet, alors que de nombreuses victimes sont absentes du bureau et pourraient ne le savoir que mardi. Il s’agissait d’une opération très ciblée destinée à rapporter beaucoup d’argent. « 

Kaseya a conseillé aux clients de fermer immédiatement leurs serveurs temporairement pour éviter d’être attaqués et de se méfier de toute communication d’attaquants. Ben Ari a noté que l’étendue des dégâts causés par l’attaque ne sera pas claire avant plusieurs jours.

Ben Ari a souligné que les entreprises peuvent se préparer à de telles attaques en évaluant les risques pour leurs systèmes, en sécurisant les vulnérabilités à l’aide de services de cybersécurité tels que le service Panorays et en mettant en œuvre un plan de retour à Internet en cas d’attaques. Je pense que ce type d’attaque sera un modèle auquel les entreprises de toutes tailles devraient se préparer. Il a déclaré que les petites entreprises qui n’investissent pas dans la cybersécurité seront les plus faciles à pirater, et qu’il existe alors un risque que l’attaque se propage. La seule solution est de préparer l’avenir, car la question n’est pas de savoir si quelque chose comme cela se produira mais quand. »