Bulletins

Une cyberattaque utilisant Kaseya VSA menace des milliers d'entreprises à travers le monde

bs1.jpg

Similaire à SolarWinds, le fournisseur de logiciels de gestion de réseaux, de systèmes et des infrastructures informatiques Kaseya fait face à une grande cyberattaque. Cette dernière est survenue à cause d'une vulnérabilité de sécurité inédite (CVE-2021-30116) dans son logiciel VSA qui a été exploitée pour diffuser une mise à jour malveillante du produit permettant la distribution de ransomware aux clients.

Selon Mark Loman, analyste des malwares chez Sophos, cette attaque de spply chain s'appuie sur Kaseya VSA pour déployer une variante du ransomware REvil dans l'environnement de la victime, le binaire malveillant étant chargé latéralement via une fausse application Windows Defender pour chiffrer les fichiers en échange d'une demande de rançon de 5 millions de dollars.

La chaîne d'attaque fonctionnait en déployant d'abord un dropper malveillant via un script PowerShell qui était exécuté par le logiciel VSA de Kaseya.

"Ce script désactive Microsoft Defender pour les fonctions de protection des points de terminaison, puis utilise l'utilitaire certutil.exe pour décoder un exécutable malveillant (agent.exe) qui dépose un binaire Microsoft légitime (MsMpEng.exe, une ancienne version de Microsoft Defender) et une bibliothèque malveillante (mpsvc.dll), qui est le ransomware REvil. Cette bibliothèque est ensuite chargée par le MsMpEng.exe légitime en utilisant la technique de chargement latéral de DLL", ajoutent les chercheurs.

Selon Fred Voccola, PDG de la société, entre 800 et 1 500 entreprises en aval dans le monde ont été paralysées par l'attaque du ransomware.

M. Voccola a également indiqué que la société avait identifié la source de la vulnérabilité et qu'elle préparait un correctif pour atténuer les problèmes en cours. Dans l'intervalle, la société a également indiqué qu'elle avait l'intention de maintenir tous les serveurs VSA sur site, les serveurs SaaS et les serveurs VSA hébergés hors service jusqu'à ce que les opérations puissent reprendre en toute sécurité.

L'incident a également conduit l'Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) à proposer des conseils d'atténuation, invitant les entreprises à activer l'authentification multifactorielle, à limiter la communication avec les fonctionnalités de surveillance et de gestion à distance (RMM) aux adresses IP connues et à placer les interfaces administratives des RMM derrière un réseau privé virtuel (VPN) ou un pare-feu sur un réseau administratif dédié.