Catégories
Attaque informatique Professionnel Ransomware revil Sécurité Service informatique

Qui est Kaseya la victime d’un « Nouveau » ransomware?

La cyberattaque qui a frappé la société informatique Kaseya le week-end dernier a contraint la chaîne de supermarchés suédoise Coop à fermer plus de 800 magasins et supérettes. L’attaque ricoche et peut toucher plus de 1 500 entreprises dans le monde. Et les marques françaises ?

Kaseya développe des solutions et des services pour les fournisseurs de services gérés (MSP). Vendredi, alors que la plupart des Américains étaient prêts à fêter le week-end du 4 juillet, l’entreprise a subi une attaque contre l’une de ses solutions, Kaseya USA. Cela permet aux utilisateurs de distribuer des mises à jour et de surveiller à distance les systèmes informatiques de leurs clients.

Cependant, il y avait une vulnérabilité sur le système. Cela avait été découvert par le DIVD, l’Institut néerlandais de détection des vulnérabilités, qui avait prévenu l’entreprise. Kaseya l’a donc corrigé et le correctif a même été validé lorsque REvil ou l’une de ses filiales a frappé et exploité la vulnérabilité zero-day pour mener son attaque. À ce stade, peu de détails ont été publiés sur ce bug, sauf qu’il était assez facile à exploiter.

Grâce à cela, le groupe de hackers a pu diffuser des fichiers malveillants sous couvert d’une mise à jour automatique de Kaseya VSA et diffuser des ransomwares aux MSP utilisant la solution mais aussi à leurs clients. Il n’est pas encore possible de savoir exactement combien d’entreprises ont été touchées par cette attaque, mais il a été estimé vendredi que plus de 1 000 d’entre elles ont vu leurs fichiers cryptés alors que REvil avance le chiffre d’un million sur son site internet.

Caisses inopérantes, magasins fermés… Une cyberattaque sans précédent est devenue sa première victime en Europe, le groupe de supermarchés suédois Coop, qui représente 20% du secteur dans le pays, a été paralysé samedi 3 juillet par la cyberattaque contre l’entreprise américaine Kaseya. , spécialiste de l’infogérance informatique. 800 magasins sont toujours fermés pendant quatre jours, les caisses enregistreuses sont bloquées et hors d’usage.

C’est par l’intermédiaire d’un de leurs sous-traitants informatiques, Visma Escom, lui-même touché par la cyberattaque, que le système informatique interne de l’entreprise suédoise a été piraté. L’attaque a également touché plusieurs pharmacies suédoises et la compagnie ferroviaire du pays. Plus précisément, les pirates ont attaqué le logiciel phare de Kaseya, « VSA », conçu pour gérer de manière centralisée les réseaux de serveurs, contrôler et sécuriser les systèmes informatiques. Ils ont choisi la méthode des ransomwares, qui consiste à installer des logiciels malveillants qui bloquent toutes les machines ou ordinateurs ciblés jusqu’à ce que leurs propriétaires paient une rançon.

Jusqu’à 1 500 entreprises impliquées
Sur ses 40 000 clients, Kaseya estime que moins de 60 clients ont été touchés. Problème, la plupart d’entre eux gardent les clients pour eux-mêmes, ce qui facilite la propagation de l’attaque.

Catégories
Attaque Etude informatique Ransomware Sécurité Service informatique

Négociateurs en recrutement chez les cybercriminels

L’écosystème des Ransomware as a service (RaaS) recrute pour forcer les victimes à payer.

Victoria Kivilevich, analyste du renseignement sur les menaces chez KELA, a publié les résultats d’une étude de tendance RaaS, affirmant que les attaques individuelles ont presque « disparu » en raison de la nature lucrative du système. Commerce de ransomwares criminels.

Les gains financiers potentiels des entreprises cherchant désespérément à déverrouiller leurs systèmes ont donné lieu à des spécialistes du chantage et ont également entraîné une énorme demande d’individus capables de prendre en charge le côté négociation d’une chaîne d’attaque.

Les ransomwares peuvent être dévastateurs non seulement pour les activités d’une entreprise, mais aussi pour sa réputation et ses résultats. Si des attaquants réussissent à toucher un fournisseur de services utilisé par d’autres entreprises, ils peuvent également être en mesure d’étendre rapidement leur surface d’attaque à d’autres appareils.

Dans un cas récent, des vulnérabilités zero-day dans des logiciels américains fournis par Kaseya ont été utilisées pendant le week-end férié américain pour compromettre les terminaux et exposer les organisations à un risque d’infection par ransomware. On estime actuellement que jusqu’à 1 500 entreprises ont été touchées.

Selon KELA, une attaque de ransomware typique comporte quatre phases : acquisition de code/malware, propagation et infection des cibles, extraction de données et/ou persistance de la maintenance sur les systèmes affectés et génération de revenus.

Il y a des acteurs dans chaque « domaine », et récemment, la demande de spécialistes de l’exploitation minière et de la génération de revenus a augmenté parmi les groupes de ransomware.

L’émergence de revendeurs en particulier dans le domaine de la monétisation est désormais une tendance dans l’espace RaaS. Selon les chercheurs du KELA, on assiste à l’émergence d’un grand nombre d’acteurs malveillants contrôlant l’aspect négociation, tout en augmentant la pression via les appels téléphoniques, les attaques par paralysie distribuée (DDoS) ou les menaces de fuite d’informations volées.

KELA suggère que ce rôle est dû à deux facteurs potentiels : le besoin pour les groupes de ransomware de s’en tirer avec une marge bénéficiaire décente et le besoin de personnes parlant anglais pour mener des négociations efficaces.

« Cette partie de l’attaque semble également être une activité externalisée, au moins pour certaines filiales et/ou développeurs », explique Kivilevich. « L’écosystème ransomware ressemble donc de plus en plus à une entreprise avec des rôles différents au sein de l’entreprise et des activités plus externalisées. »

Les courtiers d’accès initial sont également très demandés. Après avoir observé les activités du dark web et des forums pendant plus d’un an, les chercheurs affirment que le prix de l’accès aux réseaux compromis a augmenté. Certaines offres sont désormais 25 à 115% plus élevées que précédemment enregistrées, notamment lorsque le niveau administrateur de domaine a été accédé.

Ces intrus peuvent s’attendre à obtenir entre 10 et 30 % de la rançon. Il convient toutefois de noter que certains de ces courtiers ne fonctionnent pas du tout avec les ransomwares et ne se livreront qu’à des attaques ciblant d’autres cibles, telles que celles qui conduisent à la collecte de données de carte de crédit.

« Au cours des dernières années, les groupes de ransomwares ont évolué pour devenir des sociétés de cybercriminalité avec des membres ou des « employés » spécialisés dans différentes parties des attaques et différents services d’assistance », a commenté KELA. « La récente interdiction des ransomwares sur deux grands forums russophones ne semble pas affecter cet écosystème, car seule la publicité des programmes d’affiliation a été interdite sur les forums. »

LIEN

Catégories
Attaque hyères informatique Mac MacOS Mairie Orange Sécurité Service informatique

Evitez l’attaque qui efface les données d’un WD My Book Live

Ce fut une vilaine surprise pour certains utilisateurs de disques durs réseau Western Digital My Book Live dont le contenu a été automatiquement supprimé à distance dans le cadre d’une réinitialisation de leurs paramètres.

Le 23 juin, de nombreux utilisateurs de WD My Book Live ont eu une très mauvaise surprise lorsqu’ils ont découvert que toutes les données stockées sur leur disque dur réseau (NAS) avaient disparu. Et sans raison apparente, car ils n’avaient effectué aucune opération particulière. En quelques heures, les témoignages se sont multipliés en ligne et sur Twitter, prouvant qu’il ne s’agissait pas d’accidents isolés. Le forum de support de Western Digital, le fabricant de ces systèmes de stockage très populaires, s’est rapidement rempli de messages désespérés appelant à l’aide. « J’ai un WD My Book Live connecté à mon réseau local qui fonctionne bien depuis des années », écrit la personne qui a lancé le fil. « Je viens d’apprendre que toutes les données sont parties là-bas aujourd’hui : les catalogues semblent être là, mais ils sont vides. Auparavant, le volume de 2 To était presque plein : maintenant il est à pleine capacité. » Certains utilisateurs rapportent même que l’accès au NAS est désormais interdit, car l’appareil leur demande un nouveau mot de passe, qu’ils n’ont bien sûr pas. Bref, panique et catastrophe car les données supprimées sont perdues à jamais. Adieu documents, photos, vidéos et autres fichiers personnels collectés au fil des années sur ces appareils conçus uniquement pour effectuer des sauvegardes.

début Juillet WD a identifié l’erreur qui est considérée comme la source du piratage qui a entraîné la suppression de données à distance pour de nombreux utilisateurs de disques durs My Book Live. Ce bug a été introduit en 2011 par une mise à jour du firmware visant à améliorer le processus d’identification des utilisateurs. « Nous avons examiné les journaux que nous avons reçus des clients concernés pour comprendre et caractériser l’attaque. Ils montrent que les pirates sont directement connectés aux appareils My Book Live concernés à partir d’une variété d’adresses IP dans différents pays. » Explique l’entreprise.

Plus important encore, le fabricant annonce qu’une campagne gratuite de récupération de données débutera le mois prochain sans dire si toutes les personnes impliquées seront en mesure de retrouver toutes les données perdues. WD lancera également un programme de mise à niveau avantageux pour ces derniers et les encouragera à acquérir un NAS My Cloud à un prix préférentiel en échange de leur NAS My Book Live.

Pour plus d’informations, visitez la page d’assistance de Western Digital.