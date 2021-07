Le FBI a mis en garde contre l’ampleur de l’attaque du ransomware Kaseya après le piratage d’un grand nombre d’entreprises aux États-Unis.

Ceux qui sont à l’origine de l’attaque d’extorsion de masse ont demandé 70 millions de dollars pour restaurer les données qu’ils détiennent en rançon – selon une publication sur un site Web sombre.

Des centaines d’entreprises à travers les États-Unis ont été ciblées dans l’attaque Crédit : Getty

Le FBI a émis un avertissement sur l’ampleur du piratage Crédit : FBI

La violation, qui est la plus grande attaque de ransomware jamais enregistrée, aurait touché les systèmes informatiques de près d’un million d’entreprises à travers le monde vendredi, en ciblant les systèmes de la société de logiciels américaine Kaseya.

Tard dimanche, les pirates informatiques russes REvil ont demandé une rançon de 70 millions de dollars en Bitcoin pour une clé de déchiffrement à la suite de la cyberattaque – qui aurait touché jusqu’à 1 000 entreprises américaines.

Le cofondateur et ancien directeur de la technologie de la société de cybersécurité Crowdstrike, Dmitri Alperovitch, l’a qualifiée de « campagne de ransomware la plus importante et la plus destructrice » que le monde ait connue.

Maintenant, le FBI a émis un avertissement selon lequel les victimes pourraient ne pas obtenir de réponse aux rapports de compromission du système « en raison de l’ampleur potentielle » de l’attaque.

« Si vous pensez que vos systèmes ont été compromis à la suite de l’incident du ransomware Kaseya, nous vous encourageons à utiliser toutes les mesures d’atténuation recommandées, à suivre les conseils de Kaseya et de la Cybersecurity and Infrastructure Security Agency (CISA) pour arrêter immédiatement vos serveurs VSA, et signalez votre compromis au FBI sur ic3.gov », indique le communiqué.

« Veuillez inclure autant d’informations que possible pour aider le FBI et la CISA à déterminer la priorité pour la sensibilisation des victimes.

« En raison de l’ampleur potentielle de cet incident, le FBI et la CISA peuvent ne pas être en mesure de répondre à chaque victime individuellement, mais toutes les informations que nous recevons seront utiles pour contrer cette menace. »

Dans une déclaration distincte sur son site Web, Kaseya a confirmé qu’elle enquêtait sur une « attaque potentielle ».

Kaseya a déclaré dans un communiqué publié sur son propre site Internet qu’il enquêtait sur une « attaque potentielle ».

Après avoir initialement demandé 70 millions de dollars, les pirates auraient ensuite réduit ce montant à 50 millions de dollars.

Le groupe a déclaré : « Nous avons lancé une attaque contre les fournisseurs de MSP. Plus d’un million de systèmes ont été infectés.

« Si quelqu’un veut négocier sur le décrypteur universel – notre prix est de 70 000 000 $ en BTC et nous publierons le décrypteur publiquement. »

La demande a été publiée sur un blog généralement utilisé par le gang de cybercriminalité REvil – un groupe ayant des liens avec la Russie, considéré comme l’un des extorqueurs les plus prolifiques du monde cybercriminel.

La structure du gang rend parfois difficile de déterminer qui parle au nom des pirates.

Cependant, Allan Liska de la société de cybersécurité Recorded Future a déclaré à Reuters que le message provenait « presque certainement » de la direction principale de REvil.

L’attaque, qui s’est produite vendredi, était l’un des piratages les plus spectaculaires jamais vus, parmi une série de mesures de plus en plus accrocheuses de la part des cyberpirates.

Qui sont REvil ? REvil est un gang de hackers russophones, né en 2019. Le groupe gagnerait plus de 100 millions de dollars par an. Le groupe, également connu sous le nom de Sodinokobi, est connu pour cibler de grandes entreprises mondiales et exige d’être payé en Bitcoin. REvil a une page sur le dark web appelée Happy Blog, où il a déjà divulgué des informations sensibles des entreprises qu’il cible. Il n’y a aucune preuve que le groupe ait des liens avec des responsables russes.

Le président américain Joe Biden a été qualifié samedi de « faible » contre Vladimir Poutine, après que des centaines d’entreprises américaines aient été touchées par la brèche.

Le leader de la minorité parlementaire, Kevin McCarthy, a tweeté ce week-end : « Vous vous souvenez quand le président Biden a donné à Poutine une liste de choses qui étaient censées être interdites pour les cyberattaques ? Ce qu’il aurait dû dire, c’est que TOUTES les cibles américaines sont interdites. »

Le républicain a ajouté : « Biden est doux envers le crime et faible envers Poutine. »

Biden avait déclaré que la communauté du renseignement « ne savait pas si la Russie était à blâmer » pour l’attaque de ransomware.

« Nous ne sommes pas sûrs que ce soient les Russes. J’ai demandé à la communauté du renseignement de me donner un aperçu approfondi de ce qui s’est passé, et je saurai mieux demain », a déclaré le président.

Mais il a averti : « Si c’est en connaissance de cause et/ou en conséquence de la Russie, alors j’ai dit à Poutine que nous répondrons.

John Hammond, de la société de sécurité Huntress Labs, a déclaré que le gang REvil, un important syndicat de ransomware russophone, semble être à l’origine de l’attaque.

Qualifiant cela d' »attaque colossale et dévastatrice de la chaîne d’approvisionnement », Hammond a déclaré que les criminels visaient un fournisseur de logiciels appelé Kaseya.

Ils ont ensuite utilisé son package de gestion de réseau pour diffuser le ransomware via des fournisseurs de services cloud, a déclaré Hammond.

Au moins 200 entreprises étaient initialement considérées comme paralysées vendredi, selon un chercheur en cybersécurité dont l’entreprise répondait à l’incident.

Des rapports ultérieurs ont rapproché ce chiffre de la barre des 1 000, avec une carte montrant la propagation de l’intrusion toujours au point.