L'attaque réussie de ransomware contre le logiciel Virtual Systems Administrator (VSA) de Kaseya affecte un grand nombre d'entreprises qui utilisent ce logiciel. Un commentaire de Mark Loman, directeur de l'ingénierie chez Sophos, sur la récente attaque du rançongiciel REvil contre Kaseya.
« Depuis que la dernière attaque de ransomware REvil a été connue, Sophos a mené de nombreuses enquêtes et classé l'attaque dans la catégorie « Supply Chain Distribution ». Les criminels utilisent les fournisseurs de services gérés (MSP) comme une "plate-forme de distribution" pour cibler autant d'entreprises que possible, quelle que soit leur taille ou leur secteur d'activité.
Ransomware utilise les MSP comme plate-forme de distribution
Nous constatons ici un schéma récurrent, car les attaquants adaptent continuellement leurs méthodes pour maximiser leur impact, que ce soit financièrement ou pour voler des informations d'identification et d'autres informations exclusives qu'ils pourraient utiliser ultérieurement. Dans d'autres attaques à grande échelle que nous avons vues dans le passé, telles que WannaCry, le ransomware lui-même était le distributeur. Dans le cas présent, peu de temps après l'attaque, il était clair qu'un partenaire REvil ransomware-as-a-service (RaaS) utilisait un exploit zero-day pour distribuer le ransomware via le logiciel Virtual Systems Administrator (VSA) de Kaseya. En règle générale, ce logiciel fournit un canal de communication hautement fiable qui permet aux MSP un accès privilégié illimité pour aider de nombreuses entreprises avec leurs environnements informatiques. C'est précisément cette plate-forme qui a maintenant été réaffectée en tant que distributeur du ransomware. »
rançon dans les millions
"Certains groupes de rançongiciels prospères ont récemment volé des millions de dollars en rançon, leur permettant potentiellement d'acheter des exploits zero-day très précieux. Certains exploits n'ont généralement été réalisables qu'au niveau de l'État-nation, qui déploie généralement ces outils spécifiquement pour une attaque spécifique et isolée. Entre les mains de cybercriminels, un tel "exploit premium" pour une vulnérabilité dans une plate-forme mondiale peut toucher de nombreuses entreprises à la fois et avoir un impact sur notre vie quotidienne.
Basé sur Sophos Threat Intelligence, REvil a été particulièrement actif ces dernières semaines, y compris l'attaque JBS, et est actuellement le gang de ransomware dominant impliqué dans les cas de réponse défensive aux menaces gérées par Sophos.
Plus sur Sophos.com
À propos de Sophos Plus de 100 millions d'utilisateurs dans 150 pays font confiance à Sophos. Nous offrons la meilleure protection contre les menaces informatiques complexes et la perte de données. Nos solutions de sécurité complètes sont faciles à déployer, à utiliser et à gérer. Ils offrent le coût total de possession le plus bas du secteur. Sophos propose des solutions de chiffrement primées, des solutions de sécurité pour les terminaux, les réseaux, les appareils mobiles, la messagerie et le Web. Vous bénéficiez également de l'assistance des SophosLabs, notre réseau mondial de centres d'analyse propriétaires. Le siège social de Sophos se trouve à Boston, aux États-Unis, et à Oxford, au Royaume-Uni.