Ces dernières années, il y a eu un basculement notable vers des attaques ciblant davantage les équipements périmétriques. Les vulnérabilités des appareils couramment connectés à Internet permettent aux attaquants de compromettre un grand nombre de systèmes à la fois, et ce avec très peu d’effort. Dans ce cas-ci, ils ont ciblé le serveur Kaseya VSA.
Il semble que les attaquants aient exploité une vulnérabilité zero-day, très probablement en utilisant une injection SQL (SQLi), pour accéder à distance aux serveurs VSA exposés à internet. Comme Kaseya est principalement utilisé par des MSP (Managed Service Providers), cette approche a donné aux attaquants un accès privilégié aux appareils des clients du MSP en question. Certaines des fonctionnalités classiques du serveur VSA sont le déploiement de logiciels et l’automatisation de tâches informatiques. Ainsi, il bénéficie donc d’un niveau de confiance élevé au niveau des appareils des clients. En infiltrant le serveur VSA, tout client connecté effectuera sans aucun doute la tâche demandée par ce dernier. C’est probablement l’une des raisons pour lesquelles Kaseya a été ciblé.
Pour obtenir une analyse détaillée de cette attaque ainsi que du malware utilisé et découvrir les leçons qui en ont été tirées, veuillez consulter l’article des SophosLabs Uncut : Independence Day: REvil uses supply chain exploit to attack hundreds of businesses.
Les SophosLabs et l’équipe Sophos Security Operations ont également publié un article sur le Blog Sécurité concernant cette attaque avec plusieurs indicateurs de compromission (IoC) comprenant des détections, des processus, des fichiers, des clés de registre, des extensions et des domaines qui aideront les entreprises à déterminer si elles sont potentiellement impactées et quelles sont les prochaines étapes à lancer en priorité. À l’heure actuelle, les éléments de preuve que nous avons collectés montrent que plus de 70 MSP (Managed Service Providers) ont été touchés, impactant ainsi plus de 350 entreprises supplémentaires.
Nous continuerons à mettre à jour ces articles en temps réel à mesure que de nouvelles informations seront disponibles. Si vous êtes victime de cette attaque et avez besoin d’aide, notre service Rapid Response est là pour vous aider.
Les clients Sophos sont protégés par des détections dans plusieurs de nos produits. Veuillez consulter l’article sur le Blog Sécurité pour obtenir plus de détails.
Billet inspiré de Kaseya VSA supply chain ransomware attack, sur le Blog Sophos.