Le 2 juillet 2021, un utilisateur de REvil/Sodinokibi a exploité plusieurs vulnérabilités du produit Kaseya VSA pour distribuer un chiffreur de rançongiciel aux terminaux connectés. C'est la demande de rançon la plus élevée de l'histoire. Un commentaire de Charles Carmakal, SVP et CTO, Mandiant.
Kaseya VSA est une solution de surveillance et de gestion à distance utilisée par les fournisseurs de services gérés (MSP) et les entreprises pour gérer à distance les systèmes informatiques. Le nombre d'organisations touchées par la perturbation du rançongiciel REvil est actuellement inconnu, mais Kaseya estime le nombre de cas à moins de 1.500 XNUMX. Bon nombre des entreprises concernées sont de très petites entreprises familiales qui, en raison du week-end de vacances aux États-Unis, ont découvert l'impact tardivement.
REvil Ransomware en tant que service (RaaS)
REvil Ransomware-as-a-Service (RaaS) est promu sur les forums clandestins en langue russe depuis mai 2019. Dans le modèle commercial RaaS, un groupe central développe le ransomware, communique avec les victimes et exploite l'infrastructure dorsale. Des partenaires ou des groupes affiliés mènent les attaques et diffusent le ransomware. Le RaaS est exploité par le pirate "UNKN" (alias "Unknown"), qui n'accepte pas les partenaires anglophones et ne permet pas aux partenaires d'attaquer les pays de la CEI, y compris l'Ukraine. Les utilisateurs connus sont russophones, mais il est probable que certains des participants ne soient pas physiquement basés en Russie. Après l'attaque du Colonial Pipeline, UNKN s'est efforcé de réduire les cibles des utilisateurs de REvil et a insisté pour vérifier les cibles avant de distribuer le rançongiciel.
REvil demande une rançon de 70 millions de dollars
Charles Carmakal, SVP et CTO, Client (Image : FireEye)
REvil a revendiqué la responsabilité de l'attaque dans la soirée du 4 juillet et a affirmé avoir touché plus d'un million de systèmes. Ils demandent 70 millions de dollars pour une clé de décryptage universelle qui peut être utilisée pour déverrouiller tout système affecté. Cette somme exorbitante est la plus élevée de l'histoire. Dans les conversations privées, REvil a réduit ses exigences de manière proactive. Ils sont également connus pour exagérer la portée et l'impact de leurs attaques. De plus, REvil n'a pas encore publié de données sur les infiltrations. Une méthode qu'ils utilisent souvent pour forcer leurs victimes à payer. Tant que les criminels pourront exiger des dizaines de millions de dollars de rançon sans être condamnés à une peine de prison, ce problème ne fera qu'empirer. Ces groupes sont bien financés et très motivés, et seule une action collective déterminée pourra inverser la tendance.
Plus sur FireEye.com
À propos de Trellix Trellix est une entreprise mondiale qui redéfinit l'avenir de la cybersécurité. La plate-forme ouverte et native Extended Detection and Response (XDR) de la société aide les organisations confrontées aux menaces les plus avancées d'aujourd'hui à avoir l'assurance que leurs opérations sont protégées et résilientes. Les experts en sécurité de Trellix, ainsi qu'un vaste écosystème de partenaires, accélèrent l'innovation technologique grâce à l'apprentissage automatique et à l'automatisation pour soutenir plus de 40.000 XNUMX clients commerciaux et gouvernementaux.