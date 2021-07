Une attaque de ransomware semble être en cours contre la plate-forme de gestion informatique à distance Kaseya, affectant bon nombre de ses clients, a déclaré l’agence américaine de cybersécurité. Les chercheurs blâment les mêmes pirates informatiques qui se sont attaqués à l’emballeur de viande JBS.

L’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a déclaré vendredi soir qu’elle était « prendre des mesures pour comprendre et résoudre la récente attaque de ransomware de la chaîne d’approvisionnement contre Kaseya » et les fournisseurs qui utilisent leur logiciel.

Attaque de la chaîne d’approvisionnement de Kaseya, couramment utilisée dans les environnements de fournisseurs de services gérés aux États-Unis, conduisant à un événement de ransomware de masse. Détails dans le lien et le fil au fur et à mesure de leur développement : https://t.co/YStENYMTdW – Kevin Beaumont (@GossiTheDog) 2 juillet 2021

Kaseya a mis son service cloud hors ligne. Il a d’abord déclaré que 200 entreprises étaient affectées, mais a ensuite changé cela en « un petit nombre. » Ni la société ni CISA n’ont dit quoi que ce soit sur la façon dont les pirates auraient pu y accéder.

John Hammond de la société de cybersécurité Huntress Labs a déclaré « milliers » des ordinateurs ont été touchés. « Nous avons actuellement trois partenaires Huntress qui sont impactés par environ 200 entreprises qui ont été cryptées », dit-il, l’appelant un « attaque colossale et dévastatrice de la chaîne d’approvisionnement. »

John Hammond, chercheur principal en sécurité chez Huntress Labs, sur la violation de Kaseya : environ 200 entreprises qui utilisent la technologie de Kaseya ont vu leurs réseaux cryptés par REvil (pensez à SolarWinds mais avec un ransomware). « Il s’agit d’une attaque colossale et dévastatrice de la chaîne d’approvisionnement. » pic.twitter.com/c9xDnrJw9f – Zack Whittaker (@zackwhittaker) 2 juillet 2021

Brett Callow, un expert en ransomware chez Emsisoft, a déclaré à AP qu’il n’était au courant d’aucune attaque de ransomware précédente sur la chaîne d’approvisionnement à cette échelle, l’appelant « SolarWinds avec ransomware. »

Alors que le gouvernement américain a imputé la violation de SolarWinds de l’année dernière à la Russie – Moscou a nié toute implication, qualifiant les insinuations « absurde » et « pathétique » – le hack Kaseya semblait être l’œuvre de REvil, un groupe que de nombreux chercheurs américains ont décrit comme « russophone. »

« Sur la base de tout ce que nous voyons en ce moment, nous croyons fermement que cela (est) REvil/Sodinikibi », a déclaré Hammond de Huntress Labs.

REvil est un syndicat criminel que le FBI a blâmé pour l’attaque de ransomware de mai contre JBS, le conglomérat brésilien de conditionnement de viande, qui a perturbé la transformation et les livraisons de viande aux États-Unis, au Canada et en Australie. JBS a admis le 10 juin avoir payé une rançon de 11 millions de dollars aux pirates afin de rétablir les opérations et d’éviter de futures perturbations.





Alors que la Maison Blanche n’a pas blâmé la Russie pour l’attaque JBS, la secrétaire de presse de la Maison Blanche, Jen Psaki, a déclaré que « les États responsables n’hébergent pas de criminels ransomware » après que le FBI a désigné REvil comme le coupable probable de la violation.

Les cyber-détectives ne croient pas non plus que le moment du piratage signalé de Kaseya était un accident. Cela est arrivé alors que les États-Unis se préparaient pour un week-end de trois jours pour célébrer le jour de l’indépendance, et de nombreuses entreprises ainsi que des agences gouvernementales fermaient leurs portes plus tôt.

« Il n’y a aucun doute dans mon esprit que le moment choisi ici était intentionnel », Jake Williams de Rendition Infosec a déclaré à AP.

Washington a accusé à plusieurs reprises Moscou d’avoir orchestré des cyberattaques contre les infrastructures américaines ou « hébergeant des entités criminelles » qui le font. Le sommet du mois dernier entre le président américain Joe Biden et le président russe Vladimir Poutine à Genève a mis en évidence une discussion sur le piratage.





Vendredi matin, l’ambassade de Russie à Washington a publié un communiqué notant que « attaques constantes contre des infrastructures critiques en Russie » viennent du sol américain et ont exprimé l’espoir que les Américains « abandonner la pratique des accusations infondées et se concentrer sur un travail professionnel avec des experts russes pour renforcer la sécurité internationale de l’information. »

