Postmodern Studio/Shutterstock.comKaseya , une entreprise de technologie d'entreprise, est la dernière victime d'un ransomware malveillant. La société a confirmé qu'environ 1 500 entreprises ont été touchées par l'attaque du week-end du 4 juillet, bien que les attaquants disent qu'ils ont déjà touché plus d'un million d'ordinateurs.
Les attaquants ont apparemment mené une attaque de ransomware sur la chaîne d'approvisionnement en exploitant (naturellement) une vulnérabilité auparavant inconnue dans le logiciel VSA de l'entreprise contre leurs clients et plusieurs fournisseurs de services gérés. VSA est le logiciel de surveillance et de gestion à distance de l'entreprise utilisé pour gérer et mettre à jour les terminaux (comme les PC ou les caisses enregistreuses).
“À ce jour, nous savons que moins de 60 clients Kaseya, qui utilisaient tous le produit VA sur site, ont été directement compromis par cette attaque. Bien que bon nombre de ces clients fournissent des services informatiques à plusieurs autres entreprises, nous comprenons que l'impact total jusqu'à présent a été sur moins de 1 500 entreprises en aval. Nous n'avons trouvé aucune preuve que l'un de nos clients SaaS ait été compromis,” a déclaré Kaseya dans une mise à jour.
L'attaque a été initialement lancée le vendredi 2 juillet. Kaseya a publié le lendemain un outil de détection de compromission aux clients, qui analyserait les serveurs et les points de terminaison pour voir si des indicateurs de compromission ont été détectés. Dimanche 4 juillet, les acteurs ont demandé 70 millions de dollars en Bitcoin en échange de leur outil de décryptage universel. Le lendemain, Kaseya a annoncé un correctif pour les clients sur site, qui devrait être déployé dans les 24 heures suivant la remise en ligne de ses serveurs SaaS.
Au cours du week-end, Kaseya a rencontré le FBI et la CISA pour discuter les mesures de sécurité comme les systèmes et les exigences de renforcement du réseau. La société a également noté qu'”un ensemble d'exigences sera publié avant le redémarrage du service pour donner à nos clients le temps de mettre ces contre-mesures en place en prévision d'un retour au service le 6 juillet”.
Les serveurs de Kaseya sont restés hors ligne quelques jours après l'attaque, ce qui a touché des entreprises notables comme Coop, une franchise d'épicerie suédoise comptant plus de 800 magasins dont les caisses enregistreuses sont tombées en panne. Kaseya dit qu'il fournira des détails supplémentaires sur les attaques et tiendra les clients au courant des efforts de sécurité et d'un calendrier de restauration complet au fur et à mesure qu'ils avancent.
via ZDNet