Le fournisseur de technologie Kaseya met en garde contre une cyberattaque
Kaseya Ltd. a averti vendredi après-midi qu’un outil logiciel clé utilisé par les entreprises pour gérer la technologie dans d’autres entreprises pourrait avoir été la cible d’une cyberattaque.
Kaseya a conseillé aux clients de fermer immédiatement leurs copies de sa plate-forme VSA. VSA est utilisé pour surveiller les réseaux et automatiser les tâches de maintenance technologique, telles que la correction et la sauvegarde des informations.
Au moins trois fournisseurs de services technologiques qui utilisent l’outil VSA de Kaseya sont compromis, avec environ 200 de leurs clients commerciaux cryptés par la suite par un ransomware, selon la société de réponse aux incidents Huntress Ltd.
L’outil est largement utilisé par les fournisseurs de services gérés, qui gèrent généralement la technologie pour des dizaines de petites entreprises qui peuvent ne pas avoir les ressources nécessaires pour doter leurs équipes technologiques internes. Les groupes technologiques d’entreprise et gouvernementaux utilisent également l’outil.
La désactivation de VSA est essentielle, a averti Kaseya dans un avis sur son site Web d’assistance, « parce que l’une des premières choses que fait l’attaquant est de fermer l’accès administratif au VSA », a déclaré la société.
La Cybersecurity and Infrastructure Security Agency, qui fait partie du département américain de la Sécurité intérieure, a déclaré vendredi soir dans une alerte qu’elle « prenait des mesures pour comprendre et résoudre » l’attaque contre la plate-forme VSA de Kaseya. Un porte-parole de l’agence n’a pas immédiatement répondu à une demande de commentaire.
Une porte-parole a déclaré que Kaseya n’avait pas été victime d’une attaque de ransomware et qu’elle enquêtait sur « des attaques potentielles contre nos clients VSA qui ont le logiciel sur site ». La société, basée à Dublin, a fermé ses services cloud par prudence, a-t-elle déclaré.
Les sociétés d’intervention en cas d’incident, dont Huntress, ont déclaré qu’elles travaillaient avec plusieurs fournisseurs de services qui avaient été touchés par l’attaque aux États-Unis et à l’étranger.
John Hammond, chercheur principal en sécurité chez Huntress, a vu la preuve qu’une fois qu’un fournisseur de services est infecté via VSA, les ransomwares se propagent ensuite aux systèmes clients. M. Hammond a déclaré avoir vu des demandes de rançon allant jusqu’à 5 millions de dollars.
Selon les experts en sécurité, les gangs de ransomware lancent souvent des attaques le vendredi après-midi et avant les vacances, lorsque le personnel est susceptible d’être absent du bureau et que les équipes de sécurité sont peu dotées en personnel.
Ils craignent depuis longtemps que le piratage des fournisseurs de services gérés ou de leurs chaînes d’approvisionnement puisse avoir un effet en cascade, permettant aux pirates d’infecter des dizaines ou plus d’entreprises par le biais d’une violation d’un fournisseur.
Un piratage en décembre d’un outil de transfert de fichiers du fournisseur de technologie Accellion Inc. s’est propagé à des organisations dans plusieurs pays, dont la banque centrale de Nouvelle-Zélande, le conglomérat Singapore Telecommunications Ltd.
et le cabinet d’avocats américain Jones Day.
Clients du fournisseur de logiciels SolarWinds Inc.
a commencé à installer sans le savoir des logiciels malveillants au printemps 2020 via des mises à jour apparemment routinières d’un outil de gestion de réseau. Les responsables américains blâment les pirates informatiques russes pour l’attaque qui a touché des dizaines d’entreprises et d’agences gouvernementales. La Russie a nié toute implication.
Corrections et amplifications
Une version antérieure de cet article a mal orthographié le nom de la société comme Kasaya dans le troisième paragraphe. (Corrigé le 2 juillet.)
Écrire à James Rundle à james.rundle@wsj.com
Copyright ©2020 Dow Jones & Company, Inc. Tous droits réservés. 87990cbe856818d5eddac44c7b1cdeb8