la cyberattaque qui a visé la société Kaseya et menace un millier d’entreprises dans le monde

la cyberattaque qui a visé la société Kaseya et menace un millier d’entreprises dans le monde

Il est difficile pour l’instant d’estimer l’ampleur de cette attaque par rançongiciel, qui a déjà provoqué la fermeture de 800 magasins d’une enseigne suédoise de supermarchés.

Le long week-end des festivités du 4-Juillet aurait pu mieux commencer aux Etats-Unis. A la veille de la fête nationale, la société Kaseya, qui édite des logiciels de gestion de réseau informatique pour les entreprises, a annoncé être victime d’une « cyberattaque sophistiquée ». Kaseya a demandé à quelque 40 000 clients de déconnecter immédiatement son logiciel VSA. Mais une quarantaine de ses clients ont tout de même été affectés, a-t-elle précisé dans un communiqué (en anglais), samedi 3 juillet. Plus de mille entreprises elles-mêmes clientes de cette quarantaine de sociétés touchées risquent d’être victimes de tentatives d’extorsion.

« C’est probablement la plus grande attaque par rançongiciel que nous ayons vue, en tout cas la plus grande depuis WannaCry », a commenté Allan Liska, spécialiste des attaques par rançongiciel dans la société de cybersécurité américaine Recorded Future, cité par le Washington Post (en anglais). Lancée en 2017, la cyberattaque WannaCry a fait plus de 200 000 victimes et mis une usine Renault à l’arrêt.

Voici ce que l’on sait de cette nouvelle cyberattaque, dont l’ampleur est encore difficile à mesurer.

 

Un mode opératoire connu

Le mode opératoire est classique : les pirates ont ciblé une société relais, Kaseya, pour toucher à travers elle un nombre important de structures. Selon Kevin Beaumont, expert en cybersécurité, interrogé par le New York Times (en anglais), les entreprises victimes de l’attaque ont reçu, au lieu de la mise à jour du logiciel VAS de Kaseya, un rançongiciel, un logiciel malveillant pouvant être déclenché à distance et capable de paralyser les systèmes informatiques en chiffrant leurs données.

Les pirates auraient profité d’une faille de sécurité pour mener à bien leur opération. Des chercheurs néerlandais ont déclaré samedi avoir signalé en amont de l’attaque « de graves vulnérabilités » à Kaseya (en anglais). Selon le New York Times, Kaseya travaillait encore sur un correctif lorsque ses mises à jour ont été compromises.

En 2020, une cyberattaque par rançongiciel avait déjà touché, de manière similaire, l’éditeur de logiciels de gestion informatique SolarWinds. Par ricochet, plusieurs organisations gouvernementales et entreprises américaines avaient été affectées. Toutefois, cette dernière, imputée par Washington aux services secrets russes, s’inscrivait davantage « dans une logique d’espionnage, alors qu’on est là dans une logique d’extorsion », pointe Gérome Billois, expert en cybersécurité du cabinet de conseil Wavestone, auprès de l’AFP.

Après avoir bloqué l’accès aux données, les cybercriminels font pression sur leurs cibles : si elles souhaitent en récupérer l’accès ou ne souhaitent pas voir certaines de leurs données publiées sur internet, elles doivent payer. Selon le Washington Post (en anglais), des sociétés victimes de telles attaques se sont vu réclamer des sommes allant jusqu’à 5 millions de dollars.

 

La CISA « surveille de près la situation »

La société estimait alors que « moins de 40 clients dans le monde » étaient affectés. Mais ces derniers fournissent eux-mêmes des services à d’autres sociétés. Selon l’entreprise spécialisée dans la sécurité informatique Huntress Labs, « plus de 1.000 entreprises » ont été affectées par ce rançongiciel. Basée à Miami, Kaseya propose des outils informatiques aux petites et moyennes entreprises, dont l’outil VSA destiné à gérer leur réseau de serveurs, d’ordinateurs et d’imprimantes depuis une seule source. Elle revendique plus de 40.000 clients.

L’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) « surveille de près la situation », a indiqué Eric Goldstein, responsable pour la cybersécurité au sein de l’organisme. « Nous travaillons avec Kaseya et nous coordonnons avec le FBI pour mener des actions de sensibilisation auprès des victimes susceptibles d’être touchées », a-t-il ajouté dans un message transmis à l’AFP.

Les attaques par rançongiciel sont devenues fréquentes et les Etats-Unis ont été particulièrement frappés ces derniers mois par des assauts touchant aussi bien des grandes entreprises comme le géant de la viande JBS ou le gestionnaire d’oléoducs Colonial Pipeline, que des collectivités locales et des hôpitaux.

 

Une logique d’extorsion plutôt que d’espionnage

La nature de l’attaque est similaire à celle utilisée contre l’éditeur de logiciels de gestion informatique SolarWinds, qui avait touché fin 2020 des organisations gouvernementales et des entreprises américaines. Cette dernière, imputée par Washington aux services secrets russes, était cependant plutôt « dans une logique d’espionnage, alors qu’on est là dans une logique d’extorsion », souligne M. Billois.

Selon Huntress Labs, à en croire les méthodes utilisées, les notes de rançongiciel et l’adresse Internet fournie par les hackeurs, c’est un affilié au groupe de hackeurs connu sous les noms de Revil ou Sodinokibi qui serait à l’origine de ces intrusions. Début juin, le FBI avait attribué à ce groupe l’attaque informatique contre JBS.

L’attaque lancée vendredi est « l’une des plus importantes et étendues que j’ai vues dans ma carrière », estime Alfred Saikali, du cabinet d’avocat Shook, Hardy & Bacon, qui a l’habitude de traiter ce genre de situations. « Je n’ai jamais vu autant d’entreprises nous contacter en une seule journée pour une attaque de ce type », a-t-il affirmé. Il est en général recommandé de ne pas payer la rançon, souligne-t-il. Mais parfois, en particulier quand les données ne peuvent pas être sauvegardées, « il n’y a pas le choix », reconnaît-il.

Cette attaque « est une piqûre de rappel pour le gouvernement américain, qui doit lutter contre ces groupes cybercriminels étrangers », a jugé Christopher Roberti, chargé de la cybersécurité à la Chambre de commerce américaine.

 

Déjà des magasins paralysés

L’attaque a été diligentée à la veille d’un long week-end de fête nationale. Le meilleur moment pour prendre au dépourvu les équipes des sociétés visées et permettre au rançongiciel de multiplier les dégâts en allongeant le délai d’intervention. De sorte que l’ampleur des dommages est encore difficilement mesurable. « Je ne serais pas surpris qu’il s’agisse de milliers d’entreprises », avance Fabian Wosar, directeur technique d’Emsisoft, une société qui propose une entreprise des solutions contre les attaques de rançongiciels, auprès du Washington Post.

Comme la quarantaine d’entreprises affectées fournissent des services à d’autres sociétés, les dégâts de l’attaque pourraient être conséquents et mondiaux. « En se basant sur le nombre de fournisseurs de services informatiques qui nous demandent de l’aide et les commentaires que nous voyons sur ce fil, il est raisonnable de penser que cela pourrait potentiellement avoir un impact sur des milliers de petites entreprises », a avancé la société Huntress Labs, spécialisée dans l’aide aux entreprises victimes de cyberattaques, dans un message sur le forum Reddit (en anglais). L’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a déclaré qu’elle surveillait de près la situation et travaille avec le FBI et la société Kaseya pour aider les entreprises susceptibles d’avoir été touchées.

En Suède, la grande chaîne de supermarchés Coop a dû fermer samedi plus de 800 magasins, ses caisses étant paralysées. Son système informatique interne avait été touché par l’attaque, a précisé la chaîne sur sa page Facebook (en suédois). La télévision publique suédoise, SVT (en suédois) annonce que la chaîne de pharmacies Apotek Hjärtat et la société énergétique finlandaise ST1 sont également atteintes. « Dans certains cas, ils ont constaté qu’un fichier texte était apparu sur le bureau de certains ordinateurs, demandant une rançon », rapporte le média.

Une menace grandissante

Cette cyberattaque est loin d’être une exception. Ces dernières années, les attaques par rançongiciel sont devenues fréquentes. En 2020, le nombre de ces opérations a enregistré une augmentation de 485% par rapport à l’année 2019, selon le rapport annuel (en anglais, PDF) de l’entreprise Bitdefender, spécialiste de l’antivirus.

Cette tendance se poursuit en 2021. Rien qu’aux Etats-Unis, le géant brésilien de la viande JBS, le gestionnaire d’oléoducs Colonial Pipeline, ou encore des collectivités locales et hôpitaux ont été victimes d’attaques du même type. Le gouvernement américain exhorte à présent les entreprises américaines à renforcer leur sécurité informatique. « Cette dernière attaque au rançongiciel qui affecte des centaines d’entreprises est une piqûre de rappel pour le gouvernement américain, qui doit lutter contre ces groupes cybercriminels étrangers », a réagi Christopher Roberti, chargé de la cybersécurité à la Chambre de commerce américaine.

 

Le groupe russe REvil pointé du doigt

Selon de nombreux experts, des pirates russes pourraient se trouver derrière cette attaque. Pour Huntress Labs, les méthodes, notes de rançongiciel et l’adresse internet fournie par les hackers, sont similaires à celles employées par un groupe de pirates russophones connu sous les noms de REvil ou Sodinokibi. Cette organisation, active depuis 2019 est soupçonnée d’avoir attaqué la société brésilienne JBS un mois auparavant. La multinationale avait payé 11 millions de dollars en bitcoin aux pirates pour limiter les dommages, rapporte The Wall Street Journal (en anglais).

Le président Joe Biden a ordonné une enquête et affirmé que « la première réflexion était qu’il ne s’agissait pas du gouvernement russe, mais nous ne sommes pas encore sûrs ». « S’il s’avère que cela s’est produit alors que la Russie en avait connaissance ou que c’est du fait de la Russie, alors je dis à Poutine que nous répondrons », a-t-il assuré. Moscou, suspecté de couvrir, voire d’être associé, à l’activité de pirates russes, dément toute implication. La question des cyberattaques avait longuement été abordée par les deux présidents lors de leur rencontre mi-juin.

 

Plus de 1.000 entreprises touchées

Après le géant de la viande JBS, le gestionnaire d’oléoducs Colonial Pipeline, une compagnie de ferries du Massachusetts, ou encore des collectivités locales et des hôpitaux américains, les Etats-Unis sont à nouveau frappés par une cyberattaque massive, d’une ampleur probablement sans précédent, selon les experts. Selon Huntress Labs, une entreprise spécialisée dans la sécurité informatique, plus de mille entreprises sont touchées par l’attaque dont a été victime vendredi la société américaine Kaseya. Même si celle-ci a assuré que l’incident constaté sur un logiciel avait été circonscrit « à moins de 40 clients dans le monde », l’attaque est démultipliée dans la mesure où les clients de Kaseya fournissent eux-mêmes des services à d’autres sociétés. Brett Callow, expert en cybersécurité chez Emsisof, n’hésite pas à parler d’une attaque sans précédent, même s’il se refuse de s’avancer sur un nombre d’entreprises touchées.

 

« On n’a pour le moment aucune donnée sur le nombre de sociétés concernées », a-t-il dit. Mais l’ampleur de l’attaque est probablement « sans précédent ».

Première conséquence directe de l’attaque contre Kaseya : une grande chaîne de supermarchés en Suède a dû fermer samedi plus de 800 magasins, ses caisses étant paralysées par l’attaque.

 

Au moins 18 milliards de dollars versés en 2020

Celle-ci ressemble à celle utilisée avec l’éditeur de logiciels de gestion informatique SolarWinds, (imputée par le gouvernement américain aux services secrets russes) qui avait touché en 2020 des organisations gouvernementales et des entreprises américaines.  Sauf que cette dernière était plutôt « dans une logique d’espionnage, alors qu’on est là dans une logique d’extorsion », souligne Gérome Billois, expert en cybersécurité du cabinet de conseil Wavestone.

Au moins 18 milliards de dollars ont été versés à des hackeurs usant de rançongiciels l’an dernier selon l’entreprise de sécurité Emsisoft, et l’on compte des « dizaines de milliers » de nouvelles victimes jusqu’ici en 2021. Colonial Pipeline avait reconnu avoir versé 4,4 millions de dollars aux hackers.

 

nicolas75