05.07.21
12:13

Une multitude d'entreprises menacées par une cyberattaque géante

Des hackers ont attaqué Kaseya vendredi, juste avant un week-end prolongé aux Etats-Unis, pour demander une rançon à potentiellement plus de 1.000 entreprises à travers son logiciel de gestion informatique. Le FBI, la police fédérale américaine, a souligné que "l'ampleur" de la cyberattaque en cours depuis vendredi contre la société américaine Kaseya pourrait l'empêcher de répondre à toutes les victimes individuellement.

Kaseya, un fournisseur de logiciels informatiques, a été victime d'une attaque Supply Chain. Les pirates ont réussi à compromettre Kaseya VSA, un logiciel qui permet la gestion à distance des systèmes, pour attaquer les utilisateurs de ce logiciel. Une attaque Supply Chain est une attaque contre un partenaire externe, tel qu'un vendeur ou un fournisseur, qui a accès au réseau.

Le FBI a indiqué samedi soir que ses services avaient ouvert une enquête et travaillaient avec l'Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) et d'autres agences "pour comprendre l'ampleur de la menace".  "Si vous pensez que vos systèmes ont été compromis, nous vous encourageons à utiliser toutes les mesures recommandées et à suivre les conseils de Kaseya pour arrêter immédiatement vos serveurs (liés au logiciel attaqué) et à faire un signalement au FBI", a ajouté la police américaine dans un message dimanche.  "Bien que l'ampleur de cet incident puisse nous empêcher de répondre à chaque victime individuellement, toutes les informations que nous recevrons seront utiles pour contrer cette menace", a aussi souligné le FBI. 

Le président américain Joe Biden avait indiqué samedi soir avoir ordonné une enquête, notamment pour déterminer si l'attaque venait ou non de la Russie. Pour l'instant, "nous ne sommes pas encore sûrs", avait-il alors déclaré. Il est difficile d'estimer l'ampleur de cette attaque par rançoncigiel, ou "ransomware", un type de programme informatique qui paralyse les systèmes informatiques d'une entreprise puis exige une rançon pour les débloquer.

Selon Kaseya, moins de 40 clients ont été affectés. Mais certains d'entre eux ont eux-mêmes de nombreux clients et l'attaque a pu se disséminer auprès de centaines, voire de milliers d'entre eux.  Dans un nouveau message dimanche, l'entreprise a souligné qu'elle travaillait 24 heures sur 24, "dans toutes les zones géographiques", pour résoudre le problème et restaurer le service.  Elle espère pouvoir rétablir l'activité pour les clients utilisant son logiciel à distance "dans les 24 à 48 heures" et continue à travailler à un remède pour les clients utilisant son logiciel directement sur leurs appareils.

La société de sécurité informatique ESET Research avait, samedi, identifié des victimes dans 17 pays à travers le monde. L'attaque a déjà conduit à la fermeture temporaire samedi de plusieurs centaines de magasins d'une grande chaîne de supermarchés en Suède, les caisses enregistreuses ne pouvant plus fonctionner. 

 

En Belgique?

Désactivez Kaseya VSA, ont averti heir les autorités belges. Le logiciel Kaseya VSA est utilisé dans le monde entier, y compris en Belgique. La CCB ne connaît pas tous ses clients belges et n'a pas reçu à ce jour de signalement concernant une victime belge. Cependant, il est toujours important de surveiller cette menace et de rechercher et aider les victimes potentielles.

Les clients de Kaseya utilisant le produit VSA pourraient être visés par une variante du ransomware REvil. CERT.be, le service  opérationnel du Centre de la Cybersécurité Belgique (CCB), a averti le 3 juillet les utilisateurs de Kaseya VSA de désactiver temporairement le produit jusqu'à ce que davantage d'informations soient disponibles. Il n'y a actuellement aucune victime belge connue. Le CCB suit de près la situation.

Le CERT.be, le département opérationnel du CCB, a envoyé un avertissement et des conseils aux utilisateurs de Kaseya VSA.

  • Suivez les conseils de Kaseya et désactivez toutes les instances du serveur Kaseya VSA, au moins jusqu'à ce que plus d'informations soient disponibles.
  • Les organisations qui fournissent Kaseya VSA doivent informer leurs clients de cette menace et prendre les mesures appropriées.
  • Les utilisateurs de Kaseya VSA doivent renforcer leurs capacités de surveillance et de détection des activités suspectes afin de pouvoir réagir rapidement en cas d'intrusion.

https://cert.be/nl/alert/warning-imminent-threat-ransomware-operators-are-exploiting-kaseya-supply-chain-attack

Partager cet article

Partager cet article