Cette attaque a pu être possible à cause d’une faille zero-day présente dans Kaseya VSA, qui a été exploitée par REvil et a permis la propagation rapide du ransomware à des MSP (Managed Services Providers) et leurs clients.
Une vulnérabilité zero-day sur le point d’être corrigée
Kaseya développe des solutions et des services à destination des fournisseurs de services managés (MSP). Vendredi, alors que la plupart des Américains se préparaient à célébrer le week-end du 4 juillet, l’entreprise a été victime d’une attaque sur l’une de ses solutions, Kaseya VSA. Celle-ci permet à ses utilisateurs de déployer des mises à jour et de surveiller les systèmes informatiques de leurs clients à distance.
Cependant, une vulnérabilité était présente sur le système. Celle-ci avait été découverte par le DIVD, l’institut néerlandais pour la divulgation des vulnérabilités, qui avait prévenu l’entreprise. Kaseya était donc en train de la corriger et le patch était même en cours de validation quand REvil, ou l’une de ses filiales, a frappé, exploitant la vulnérabilité zero-day pour mener son attaque. Pour le moment, peu de détails ont été communiqués à propos de cette faille, mis à part le fait qu’elle était assez facile à exploiter.
Grâce à elle, le groupe de hackers a pu distribuer des fichiers malveillants sous couvert d’une mise à jour automatique de Kaseya VSA et propager le ransomware aux MSP utilisant la solution, mais aussi à leurs clients. Il n’est pas possible pour le moment de savoir précisément combien d’entreprises ont été touchées par cette attaque, mais il était estimé vendredi que plus de 1 000 d’entre elles ont vu leurs fichiers être chiffrés tandis que REvil avance le nombre d’un million sur son site.
Lire aussi : https://veille-cyber.com/cyberattaque-geante-kaseya-peine-a-redemarrer-ses-serveurs-en-toute-securite/
Microsoft : patchez vos serveurs Exchange, ils sont attaqués