Les attaques de ransomware frappent des organisations du monde entier au début du week-end du 4 juillet
Des entreprises du monde entier se sont précipitées samedi pour contenir une attaque de ransomware qui a paralysé leurs réseaux informatiques, une situation compliquée aux États-Unis par des bureaux à faible effectif au début du week-end férié du 4 juillet.
On ne sait pas encore combien d’organisations ont été touchées par des demandes de rançon afin de remettre leurs systèmes en marche. Mais certains chercheurs en cybersécurité prédisent que l’attaque ciblant les clients du fournisseur de logiciels Kaseya pourrait être l’une des attaques de ransomware les plus larges jamais enregistrées.
Cela fait suite à un fléau d’attaques qui ont fait la une des journaux ces derniers mois et qui ont été une source de tensions diplomatiques entre le président américain Joe Biden et le président russe Vladimir Poutine pour savoir si la Russie est devenue un refuge pour les gangs de cybercriminels.
Biden a déclaré samedi qu’il ne savait pas encore avec certitude qui était responsable, mais a suggéré que les États-Unis répondraient s’il était découvert que la Russie avait quelque chose à voir avec cela.
« Si c’est en connaissance de cause et/ou en conséquence de la Russie, j’ai dit à Poutine que nous répondrons », a déclaré Biden. « Nous ne sommes pas certains. La pensée initiale était que ce n’était pas le gouvernement russe. »
Les experts en cybersécurité affirment que le gang REvil, un important syndicat de ransomware russophone, semble être à l’origine de l’attaque qui a visé la société de logiciels Kaseya, utilisant son package de gestion de réseau comme moyen de diffuser le ransomware via des fournisseurs de services cloud.
« Le nombre de victimes ici dépasse déjà le millier et atteindra probablement des dizaines de milliers », a déclaré l’expert en cybersécurité Dmitri Alperovitch du groupe de réflexion Silverado Policy Accelerator. « Aucune autre campagne de ransomware ne s’en approche en termes d’impact. »
La société de cybersécurité ESET affirme qu’il y a des victimes dans au moins 17 pays, dont le Royaume-Uni, l’Afrique du Sud, le Canada, l’Argentine, le Mexique, le Kenya et l’Allemagne.
En Suède, la plupart des 800 magasins de la chaîne d’épicerie Coop n’ont pas pu ouvrir car leurs caisses enregistreuses ne fonctionnaient pas, selon SVT, le radiodiffuseur public du pays. Les chemins de fer suédois et une grande chaîne de pharmacies locales ont également été touchés.
Le PDG de Kaseya, Fred Voccola, a déclaré dans un communiqué que la société pensait avoir identifié la source de la vulnérabilité et « publierait ce correctif le plus rapidement possible pour que nos clients soient à nouveau opérationnels ».
Voccola a déclaré que moins de 40 clients de Kaseya étaient affectés, mais les experts ont déclaré que le ransomware pourrait encore affecter des centaines d’autres entreprises qui dépendent des clients de Kaseya qui fournissent des services informatiques plus larges.
John Hammond de la société de sécurité Huntress Labs a déclaré qu’il était au courant qu’un certain nombre de fournisseurs de services gérés – des entreprises qui hébergent une infrastructure informatique pour plusieurs clients – étaient touchés par le ransomware, qui crypte les réseaux jusqu’à ce que les victimes paient les attaquants.
« Il est raisonnable de penser que cela pourrait potentiellement avoir un impact sur des milliers de petites entreprises », a déclaré Hammond, basant son estimation sur les fournisseurs de services contactant son entreprise pour obtenir de l’aide et des commentaires sur Reddit montrant comment les autres réagissent.
Au moins certaines victimes semblaient recevoir des rançons fixées à 45 000 $, ce qui est considéré comme une petite demande mais qui pourrait rapidement s’accumuler lorsqu’elle est demandée à des milliers de victimes, a déclaré Brett Callow, un expert en ransomware de la société de cybersécurité Emsisoft.
Callow a déclaré qu’il n’était pas rare que des gangs de rançongiciels sophistiqués effectuent un audit après avoir volé les dossiers financiers d’une victime pour voir ce qu’ils peuvent réellement payer, mais cela ne sera pas possible lorsqu’il y aura autant de victimes avec lesquelles négocier.
« Ils ont juste présenté le montant de la demande à un niveau que la plupart des entreprises seront prêtes à payer », a-t-il déclaré.
Voccola a déclaré que le problème n’affectait que ses clients « sur site », ce qui signifie que les organisations gérant leurs propres centres de données. Cela n’affecte pas ses services basés sur le cloud exécutant des logiciels pour les clients, bien que Kaseya ait également fermé ces serveurs par mesure de précaution, a-t-il déclaré.
La société a ajouté samedi dans un communiqué que « les clients qui ont fait l’expérience d’un ransomware et qui reçoivent une communication des attaquants ne doivent cliquer sur aucun lien – ils peuvent être armés ».
L’analyste de Gartner, Katell Thielemann, a déclaré qu’il est clair que Kaseya est rapidement passée à l’action, mais il est moins clair si leurs clients concernés avaient le même niveau de préparation.
« Ils ont réagi avec beaucoup de prudence », a-t-elle déclaré. « Mais la réalité de cet événement est qu’il a été conçu pour un impact maximal, combinant une attaque de la chaîne d’approvisionnement avec une attaque de ransomware. »
Les attaques de la chaîne d’approvisionnement sont celles qui infiltrent généralement les logiciels largement utilisés et propagent des logiciels malveillants lors de leur mise à jour automatique.
Pour compliquer la réponse, cela s’est produit au début d’un week-end de vacances important aux États-Unis, lorsque la plupart des équipes informatiques d’entreprise ne sont pas entièrement dotées en personnel.
Cela pourrait également empêcher ces organisations de remédier à d’autres failles de sécurité, comme un bogue Microsoft dangereux affectant les logiciels pour les travaux d’impression, a déclaré James Shank, de la société de renseignement sur les menaces Team Cymru.
« Les clients de Kaseya sont dans la pire situation possible », a-t-il déclaré. « Ils courent contre la montre pour obtenir les mises à jour sur d’autres bogues critiques. »
Shank a déclaré « qu’il est raisonnable de penser que le timing a été planifié » par des pirates informatiques pour les vacances.
La Chambre de commerce américaine a déclaré que cela affectait des centaines d’entreprises et était « un autre rappel que le gouvernement américain doit lutter contre ces syndicats cybercriminels étrangers » en les enquêtant, en les perturbant et en les poursuivant.
L’Agence fédérale de cybersécurité et de sécurité des infrastructures a déclaré dans un communiqué qu’elle surveillait de près la situation et travaillait avec le FBI pour recueillir plus d’informations sur son impact.
CISA a exhorté toute personne susceptible d’être affectée à « suivre les conseils de Kaseya pour arrêter immédiatement les serveurs VSA ». Kaseya exécute ce qu’on appelle un administrateur système virtuel, ou VSA, qui est utilisé pour gérer et surveiller à distance le réseau d’un client.
La société privée Kaseya est basée à Dublin, en Irlande, avec un siège américain à Miami.
REvil, le groupe que la plupart des experts ont lié à l’attaque, était le même fournisseur de ransomware que le FBI lié à une attaque contre JBS SA, un important transformateur de viande mondial contraint de payer une rançon de 11 millions de dollars, au milieu du week-end du Memorial Day en mai.
Actif depuis avril 2019, le groupe fournit un ransomware-as-a-service, ce qui signifie qu’il développe le logiciel paralysant le réseau et le loue à des soi-disant affiliés qui infectent des cibles et gagnent la part du lion des rançons.
Des responsables américains ont déclaré que les gangs de ransomware les plus puissants étaient basés en Russie et dans les États alliés et opèrent avec la tolérance du Kremlin et sont parfois de connivence avec les services de sécurité russes.
Alperovitch a déclaré qu’il pensait que la dernière attaque était motivée financièrement et non dirigée par le Kremlin.
Cependant, il a déclaré que cela montre que Poutine « n’a pas encore bougé » pour arrêter les cybercriminels en Russie après que Biden l’a pressé de le faire lors de leur sommet de juin en Suisse.
Interrogé sur l’attaque lors d’un voyage dans le Michigan samedi, Biden a déclaré qu’il avait demandé à la communauté du renseignement une « plongée en profondeur » sur ce qui s’était passé. Il a dit qu’il s’attendait à en savoir plus d’ici dimanche.
___
Les journalistes de l’AP Frank Bajak à Boston, Eric Tucker à Washington et Josh Boak à Central Lake, Michigan ont contribué à ce rapport.