Attaque de la chaîne d’approvisionnement de Kaseya: Les dernières informations

Alors que l'attaque par rançongiciel de la chaîne d'approvisionnement contre le logiciel de gestion informatique de Kaseya fait les manchettes, voici ce que nous savons jusqu'à présent.

Alors que l’attaque par rançongiciel de la chaîne d’approvisionnement contre le logiciel de gestion informatique de Kaseya fait les manchettes, voici ce que nous savons jusqu’à présent.

Juste au moment où nous nous remettions de l’attaque de la chaîne d’approvisionnement de SolarWinds, nous voyons le logiciel de gestion informatique de Kaseya, couramment utilisé dans les environnements de fournisseurs de services gérés (MSP), frappé par une autre attaque dans une série de piratages de la chaîne d’approvisionnement. Comme pour l’incident de SolarWinds, cette dernière attaque utilise un processus de diffusion de logiciels malveillants en deux étapes, en passant par la porte arrière des environnements technologiques. Contrairement à SolarWinds, les cybercriminels à l’origine de cette attaque avaient apparemment en vue un gain monétaire plutôt que le cyberespionnage, et ont fini par implanter un ransomware tout en exploitant la relation de confiance entre Kaseya et ses clients.

Les chercheurs en sécurité d’ESET surveillent ce rançongiciel, qui est généralement attribué au gang REvil dont les produits de sécurité d’ESET détectent le logiciel malveillant Sodinokibi. Notre analyse préliminaire confirme cette attribution.

Figure 1. Victims by country

Figure 1. Victimes par pays

ESET a ajouté la détection de cette variante du rançongiciel en tant que trojan Win32/Filecoder.Sodinokibi.N le 2 juillet à 15h22 (EDT ; UTC-04:00). Cette détection inclut à la fois le corps principal du ransomware, ainsi que les DLL qu’il charge latéralement. La télémétrie d’ESET montre que la majorité des rapports proviennent du Royaume-Uni, d’Afrique du Sud, du Canada, d’Allemagne, des États-Unis et de Colombie.

Kaseya, pour sa part, s’est empressé de trier l’incident et a envoyé des notifications aux personnes potentiellement affectées en leur conseillant d’arrêter immédiatement les serveurs VSA sur site potentiellement affectés.

Ce conseil ne pouvait pas venir trop tôt. Une fois le serveur infesté, le logiciel malveillant ferme l’accès administratif et commence à crypter les données, ce qui est le précurseur du cycle complet de l’attaque par rançongiciel. Une fois le processus de chiffrement complété, le fond d’écran du système se transforme en une image similaire à celle de la Figure 2, et la note de rançon à laquelle elle fait référence ressemble à la Figure 3, si la victime la cherche et l’ouvre.

Figure 2. System wallpaper is changed to an image like this

Figure 2. Le fond d’écran du système est modifié en une image semblable à celle-ci. (La deuxième image a été recadrée pour une meilleure lisibilité).

La première partie du nom du fichier « readme » est aléatoire.

Figure 3. The ransom note

Figure 3. La note de rançon (nous avons enveloppé le texte pour en faciliter la lecture).

Selon un rapport, des centaines d’organisations ont maintenant des données cryptées en leur sein, et se démènent pour les contenir et informer les équipes informatiques afin qu’elles agissent rapidement.

Figure 4. The page to which the victims are redirected

Figure 4. La page vers laquelle les victimes sont redirigées

Bien que des fournisseurs tels qu’ESET détectent ces logiciels malveillants, il y a eu un décalage entre le moment où les serveurs touchés ont été frappés par les attaques et celui où les équipes d’assistance et les logiciels ont pu réagir, ce qui fait que les premières infestations ont eu le temps de faire leurs dégâts.

Les informations sont diffusées à plusieurs endroits, notamment par le secteur de la sécurité qui se mobilise, en temps réel, pour aider les clients par tous les moyens possibles.

Si vous avez des serveurs susceptibles d’être affectés, il est essentiel de suivre les informations au fur et à mesure qu’elles émergent et de fermer les machines potentiellement vulnérables, ou du moins de les isoler du réseau jusqu’à ce que davantage d’informations soient disponibles. Kaseya publie également des mises à jour régulières sur son site Web.

Indicateurs de compromission (IoCs)

Les fichiers suivants sont associés au rançongiciel Win32/Filecoder.Sodinokibi.N :

FilenameSHA-256 hashESET detection name
agent.exeD55F983C994CAA160EC63A59F6B4250FE67FB3E8C43A388AEC60A4A6978E9F1E Win32/Filecoder.Sodinokibi.N
mpsvc.dllE2A24AB94F865CAEACDF2C3AD015F31F23008AC6DB8312C2CBFB32E4A5466EA2Win32/Filecoder.Sodinokibi.N
mpsvc.dll8DD620D9AEB35960BB766458C8890EDE987C33D239CF730F93FE49D90AE759DDWin32/Filecoder.Sodinokibi.N

Infolettre

Discussion