Le ransomware Kaseya VSA frappe les MSP dans un organe vital

  • FrançaisFrançais



  • Les attaques de ransomware Kaseya frappent le logiciel au centre de l’entreprise : la plate-forme de surveillance et de gestion à distance (RMM). (« Salle des serveurs » de torkildr est sous licence CC BY-SA 2.0)

    La vague d’attaques de ramsomware à partir de vendredi, ciblant les applications Kaseya VSA sur site, est particulièrement effrayante pour les fournisseurs de services gérés, car elles frappent le logiciel au centre de l’entreprise : la plate-forme de surveillance et de gestion à distance (RMM).

    Dans tous les autres cas, un RMM serait essentiel à la reprise après une attaque. Ils peuvent être des composants irremplaçables des plans de réponse aux incidents.

    « Ce que je pense que beaucoup de gens manquent ici, c’est que ces MSP utilisent ces systèmes pour faire l’administration à distance. C’est la seule façon dont ils doivent gérer le système. Ils n’ont pas de repli. Il n’y a pas de plan d’urgence pour eux », a déclaré Jake Williams, directeur de la technologie de Rendition Infosec et de la société de réponse aux incidents BreachQuest.

    L’étendue de l’épidémie de ransomware utilisant Kaseya VSA reste fluide, mais le nombre de clients touchés pourrait être important. Le VSA est populaire – Williams l’a appelé “le Coca-Cola” de RMM – donc l’exposition potentielle est assez large. Ils ont dit que Kaseya a rapidement dit aux clients sur site de fermer les serveurs, limitant ainsi une certaine exposition. Alors que Kayesa a déclaré vendredi qu’il pensait que moins de 40 MSP avaient été infectés, un seul fournisseur de sécurité, Huntress Labs, a déclaré qu’il était au courant de plus de 20 cas d’infection. Des milliers de clients de ces MSP ont été exposés, Huntress ayant signalé des demandes de rançon pouvant atteindre 5 millions de dollars.

    Danny Jenkins, PDG de la solution MSP Zero Trust ThreatLocker, a déclaré que le logiciel de sécurité avait signalé que les fichiers associés à l’attaque étaient apparus dans « 30 à 40 % » des clients exécutant Kaseya VSA sur site.

    VSA n’est pas le premier logiciel de gestion informatique à être utilisé dans une attaque de ransomware, ni le premier piratage de la chaîne d’approvisionnement à avoir des effets en aval. SolarWinds serait un exemple des deux.

    Lire la suite : Les criminels de Kaseya VSA pourraient avoir des liens « militarisés » dans les négociations de rançon

    « C’est arrivé encore et encore », a déclaré Jenkins. “J’ai parlé à un MSP qui, il y a à peine trois semaines, était sous contrat avec Kaseya, car il venait de quitter un autre fournisseur, car il avait été compromis par son intermédiaire.”

    Alors que la récente vague d’attaques sur la chaîne d’approvisionnement et les logiciels de gestion informatique sont des tendances préoccupantes en elles-mêmes, a déclaré James Shank, architecte en chef des services communautaires pour Team Cymru, et responsable du groupe de discussion « Worst Case Scenario’s » lors du récent Ransomware Task Force, la centralité du logiciel RMM fait de VSA un cas unique.

    « RMM est la pierre angulaire de ces entreprises », a convenu Jenkins. « Donc, Kaseya dit d’éteindre VSA, c’est comme eux qui disent d’éteindre votre cœur. Ça va te tuer. Les MSP disent quand ils l’éteignent qu’ils éteignent essentiellement les lumières.

    Kaseya a déclaré avoir identifié la vulnérabilité utilisée dans les attaques et publiera bientôt un correctif. En attendant, ils continuent de recommander la fermeture de VSA.

    Au sens large, Shank prévient que RMM continuera d’être une cible et que les MSP et leurs clients doivent être préparés.

    « La planification de l’indisponibilité des plates-formes critiques devra faire partie de la boîte à outils. Parce que, d’autant plus que les ransomwares deviennent de plus en plus courants, et c’est certainement assez courant aujourd’hui, la disponibilité d’un système particulier n’est pas une garantie », a-t-il déclaré.

    Source

    Laisser un commentaire

    Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *