Kaseya : un nouveau SolarWinds ?

C’est une cyberattaque particulièrement inquiétante qui pourrait affecter plusieurs milliers d’entreprises, jusqu’à un million clament certains experts. Utilisant comme point d’entrée la solution de monitoring VSA, fournie par l’Américain Kaseya, le ransomware REvil progresse par rebonds. Difficile pour l’heure d’estimer l’ampleur de cette campagne.

C’est une cyberattaque de grande ampleur qui se déroule depuis vendredi dernier. Un ransomware a frappé Kaseya, un éditeur de solutions ITSM, le week-end du 4 juillet. Une date qui ne doit sans doute rien au hasard : fête nationale oblige, de nombreux travailleurs aux États-Unis profitent de quelques jours de repos... Un moment idéal pour un attaquant. Toujours sur cette question de timing, le 2 juillet le Dutch Institute for Vulnerability Disclosure (DIVD) a notifié Kaseya de l’existence d’une faille critique dans les versions on-premise de VSA. C’est cette même faille qui a été exploitée pour compromettre l’outil de monitoring. 

DoublePulsar a livré une description détaillée de la méthode par laquelle le ransomware se répand aux clients de VSA, « via une fausse mise à jour logicielle automatisée à l'aide de Kaseya VSA. L'attaquant arrête immédiatement l'accès administrateur au VSA, puis ajoute une tâche appelée « Kaseya VSA Agent Hot-fix ». Cette fausse mise à jour est ensuite déployée dans tout le domaine, y compris sur les systèmes des clients clients MSP, car il s'agit d'une fausse mise à jour de l'agent de gestion. Cette mise à jour de l'agent de gestion est en fait le ransomware REvil ».

Supply chain attack

Car Kaseya n’est pas la seule victime. C’est même le point d’entrée de REvil vers de nombreuses organisations. VSA, un outil de gestion et de supervision des endpoints à distance, n’est pas commercialisé seulement à des équipes informatiques internes, mais aussi à des MSP (Managed Services Providers), ce qui implique que ne sont pas seulement affectés les clients de l'entreprise floridienne, mais aussi les clients de ses clients. D'où cette estimation de la part d'Huntress Lab, une société de cybersécurité qui mène de son côté sa propre enquête, d'un millier d'organisations victimes de cette attaque, quand Kaseya ne recense qu'une quarantaine de ses clients affectés. 

Certains, l’attaquant en tête, vont jusqu’à prétendre qu’un million de systèmes seraient infectés. Difficile pour l'heure de connaître avec exactitude l'ampleur de l'attaque ou le nombre de victimes. On sait que Coop Suède, l'une des principales chaînes de supermarchés suédoises, a été atteinte et a dû fermer 800 magasins. La presse néerlandaise évoque également au moins une entreprise affectée aux Pays-Bas. De son côté, le DIVD a précisé qu’en 48 heures, « le nombre d'instances Kaseya VSA accessibles depuis Internet est passé de plus de 2 200 à moins de 140 ». Moult instances ont donc été mises hors ligne, suivant les recommandations de Kaseya, mais combien d’entre elles sont infectées ? Et surtout REvil a-t-il comme à son habitude exfiltré les données des systèmes attaqués avant de les chiffrer ?

Déjà-vu

Dès qu’il a eu connaissance de cette attaque vendredi, l’éditeur de VSA a immédiatement arrêté ses serveurs SaaS par mesure de précaution et a notifié ses clients on-prem pour qu’ils mettent hors ligne leurs serveurs. Cette supply chain attack, si elle évoque des techniques d'APT, ne doit pas faire oublier que, dès 2017, les groupes de ransomwares avaient recours à ce genre de procédés. Ce fut le cas notamment de NotPetya, qui avait eu pour vecteur d'infection une mise à jour d'un logiciel ukrainien de comptabilité. On se rappelle également de Solarwinds, dont l’exploitation des vulnérabilités avaient permis l’espionnage de nombreuses organisations utilisatrices de sa solution Orion.

Ici, c'est un groupe affilié au ransomware REvil qui est mis en cause selon Huntress Lab, se fondant pour cette attribution sur le message de demande de rançon ainsi que sur la méthode d'attaques. The Record indique avoir repéré sur le Dark Web une publication du groupe derrière REvil revendiquant l’attaque et exigeant 70 millions de dollars en échange des clés de déchiffrement. 

Ce week-end, Kayesa insistait sur la nécessité pour tous les serveurs VSA sur site de continuer à rester hors ligne jusqu’à nouvel ordre. L’entreprise, qui explique avoir fait appel à FireEye, indique que son équipe R&D « a répliqué le vecteur d'attaque et travaille à son atténuation » et avoir « commencé le processus de correction du code ». L’entreprise doit fournir ce jour un calendrier détaillé d’un retour progressif à la normale, martelant que ses clients SaaS n’ont rien à craindre.

Qui blâmer ?

Le FBI et le CISA, équivalent américain de notre ANSSI, sont eux aussi dans la boucle, et l’attaque est remonté jusqu’aux oreilles de Joe Biden qui a déclaré que, si l’attaque devait avoir été commanditée par, ou être en lien avec les autorités russes, « nous répondrons ». Car REvil, également connu sous le nom de Sodinokibi, est supposément lié à la Russie, puisqu’il n’attaque pas les Etats de la CEI. Toutefois, REvil n’est que la souche, probablement héritier de GrandCrab, et est fourni en tant que Ransomware as a Service. Impossible donc, au stade actuel de l’enquête, de pointer du doigt un opérateur précis.

Outre l’attribution se posera inévitablement, comme pour Solarwinds, la question des responsabilités. Le DVID n’a pas manqué d’être pointé du doigt : l’attaque a été détectée le jour où l’institut néerlandais a communiqué les détails de cette faille à Kaseya. Le Dutch Institute for Vulnerability Disclosure assure pourtant que « oui, nous avons signalé ces vulnérabilités à Kaseya dans le cadre des directives de divulgation responsable (c'est-à-dire divulgation coordonnée des vulnérabilités) ». Et de souligner que l’entreprise sise en Floride a été « très coopérative », posant « les bonnes questions » et « prête à déployer le maximum d'efforts et d'initiatives dans cette affaire, à la fois pour résoudre ce problème et pour corriger ses clients ».

MàJ 05/07 - 12h03 : Selon Ross McKerchar, CISO de Sophos, « les éléments que nous avons recueillis montrent que plus de 70 fournisseurs MSP ont été impactés, entrainant des conséquences sur plus de 350 entreprises. Selon nos estimations, le nombre total d’entreprises touchées devrait être supérieur à ceux avancés par l’ensemble des spécialistes de la sécurité ». L'entreprise britannique précise que la majeure partie des clients impactés se trouvent aux États-Unis, en Allemagne et au Canada, et dans une moindre mesure en Australie, au Royaume-Uni ainsi que dans d’autres zones géographiques.