Dans une mise à jour lundi de son calendrier de restauration, Kaseya a déclaré que son conseil d’administration avait déterminé que la société n’était pas prête à commencer le déploiement de la restauration de son outil de surveillance et de gestion à distance VSA Software-as-a-Service à la suite de l’incident du ransomware. Cette décision semble retarder la publication d’un correctif pour les clients sur site.
Depuis vendredi, les clients sur site de Kaseya VSA ont subi une offensive de ransomware de la part d’un affilié de REvil qui a exploité deux bogues zero-day dans le code – un contournement d’authentification et l’une des nombreuses injections SQL, selon les recherches de Huntress Labs. Kaseya a rapidement fermé la version SaaS de VSA par mesure de précaution et a demandé aux utilisateurs sur site de fermer son service. Au cours du week-end, la Cybersecurity and Infrastructure Security Agency et le FBI ont tous deux répété la recommandation de fermer VSA sur site.
« Nous développons le nouveau correctif pour les clients sur site en parallèle de la restauration du centre de données SaaS. Nous déployons d’abord en SaaS car nous contrôlons tous les aspects de cet environnement. Une fois que cela aura commencé, nous publierons le calendrier de distribution du correctif pour les clients sur site », a écrit la société sur son site Web.
Kaseya a publié un outil de détection des violations pour les clients. Alors qu’il était d’abord disponible uniquement en envoyant un e-mail à l’entreprise, il est désormais accessible via ce lien.
Cliquez ici pour toutes les dernières nouvelles sur la cyberattaque Kaseya.
Kaseya estime actuellement qu’entre 50 et 60 de ses clients ont été touchés par le ransomware REvil lors de l’attaque. Mais la base de clients de Kaseya est en grande partie composée de fournisseurs de services gérés, chacun pouvant être utilisé pour infecter des listes entières de clients. Huntress pense que les victimes en aval de l’attaque se comptent par milliers.
Les demandes de rançon adressées à des entreprises individuelles vont de dizaines de milliers à 5 millions de dollars. Dimanche soir, le groupe REvil a publié sur son blog qu’il publierait un décrypteur universel pour 70 millions de dollars.
« Il y a certains facteurs qui ressortent de cette attaque par rapport à d’autres », a écrit Sophos sur son blog détaillant la panne de l’attaque. « Premièrement, en raison de son déploiement massif, cette attaque REvil ne fait aucun effort apparent pour exfiltrer des données. Les attaques ont été personnalisées dans une certaine mesure en fonction de la taille de l’organisation, ce qui signifie que les acteurs de REvil avaient accès aux instances de serveur VSA et pouvaient identifier les clients individuels des MSP comme étant différents des grandes organisations. Et il n’y avait aucun signe de suppression des clichés instantanés de volume, un comportement courant parmi les logiciels de rançon qui déclenche de nombreuses défenses contre les logiciels malveillants.