La compromission de Kaseya aurait permis à REvil d’infecter 1 million de postes pendant le weekend du 4 juillet #yuno

La compromission de Kaseya aurait permis à REvil d’infecter 1 million de postes pendant le weekend du 4 juillet #yuno

Le 2 juillet 2021, plus de 350 entreprises utilisant les logiciels de l’entreprise Kaseya ont été victimes d’un ransomware.

Cette entreprise fournit des solutions de sécurité et de gestion d’infrastructure. Ces services sont fournis par la solution Virtual System Administrator (VSA), installée directement chez les clients et gérée à distance par les équipes de Kaseya.

D’après Victor Grever, le dirigeant de l’institut de cybersécurité DIVD, les attaquants ont été en mesure d’exploiter la vulnérabilité référencée CVE-2021-30116 qui avait été découverte au préalable par un chercheur de ce dernier. Kaseya avait prévu de corriger la vulnérabilité lorsque les attaquants l’ont exploitée. Les détails sur la manière dont les attaquants ont été mis au courant de cette vulnérabilité restent inconnus à cette heure. Sur les 2200 serveurs VSA allumés avant l’attaque, seuls 140 le sont toujours.

Dans un premier temps, la vulnérabilité aurait été exploitée afin de contourner la mire d’authentification de l’interface web VSA via une injection SQL.

Une fois l’instance VSA compromise, les attaquants ont pu rebondir sur le réseau interne des clients. Une mise à jour spécifiquement conçue permettant de désactiver la protection en temps réel des équipements ainsi que la protection anti ransomware a été déployée via les instances VSA compromises. Cette mise à jour permettait aux attaquants de contourner les antivirus sur les équipements ciblés en installant une version vulnérable et obsolète de Microsoft Defender. Une fois cette étape achevée, il était possible pour les attaquants de déployer leur ransomware.

Kaseya a dévoilé le 3 juillet qu’ils avaient identifié la vulnérabilité exploitée et qu’ils sont actuellement en train de préparer des solutions de contournement pour palier le plus vite possible à cette vague d’attaque. L’entreprise a également annoncé que moins de 40 serveurs VSA auraient été compromis. Cependant, comme la majorité de ces serveurs sont utilisés par des gestionnaires de services, le nombre de systèmes réellement compromis pourrait être bien supérieur.

D’après l’éditeur d’antivirus ESET, cette attaque présenterait des similitudes avec le groupe d’attaquant REvil. Les soupçons de l’éditeur ont été confirmés lors de la publication sur le site de REvil, d’un message revendiquant l’attaque et proposant une clé de déchiffrement pour la somme de 70 000 000 $ en Bitcoin. Selon eux, plus d’un million de systèmes seraient infectés.

Référence YUNO : https://leportail.xmco.fr/watch/advisory/CXN-2021-3123

Pour en savoir plus sur notre service de veille yuno, contactez-nous info@xmco.fr ou visitez notre page dédiée.


Adrien Guinault