BOSTON, Massachusetts (AP) – Les équipes de cybersécurité ont travaillé fébrilement dimanche pour endiguer l’impact de la plus grande attaque mondiale de ransomware jamais enregistrée, avec quelques détails sur la façon dont le gang lié à la Russie responsable a violé l’entreprise dont le logiciel était le conduit.
Un affilié du célèbre gang REvil, mieux connu pour avoir extorqué 11 millions de dollars au transformateur de viande JBS après une attaque du Memorial Day, a infecté vendredi des milliers de victimes dans au moins 17 pays, en grande partie par le biais d’entreprises qui gèrent à distance l’infrastructure informatique de plusieurs clients, ont déclaré les chercheurs en cybersécurité. Ils ont signalé des demandes de rançon allant jusqu’à 5 millions de dollars.
Le FBI a déclaré dimanche dans un communiqué qu’il enquêtait sur l’attaque avec l’Agence fédérale de cybersécurité et de sécurité des infrastructures, bien que « l’ampleur de cet incident puisse faire en sorte que nous ne soyons pas en mesure de répondre à chaque victime individuellement ». La conseillère adjointe à la sécurité nationale, Anne Neuberger, a par la suite publié une déclaration disant que le président américain Joe Biden avait « dirigé toutes les ressources du gouvernement pour enquêter sur cet incident » et a exhorté tous ceux qui pensaient avoir été compromis à alerter le FBI.
Biden a suggéré samedi que les États-Unis répondraient s’il était déterminé que le Kremlin était impliqué. Il a dit qu’il avait demandé à la communauté du renseignement une « analyse approfondie » de ce qui s’était passé.
L’attaque survient moins d’un mois après que Biden a pressé le président russe Vladimir Poutine de cesser de fournir un refuge sûr à REvil et à d’autres gangs de rançongiciels dont les attaques d’extorsion incessantes que les États-Unis considèrent comme une menace pour la sécurité nationale.
Un large éventail d’entreprises et d’organismes publics ont été touchés par la dernière attaque, apparemment sur tous les continents, y compris dans les services financiers, les voyages et les loisirs et le secteur public – bien que peu de grandes entreprises, a rapporté la société de cybersécurité Sophos. Les criminels ransomware pénètrent dans les réseaux et sèment des logiciels malveillants qui paralysent les réseaux lors de l’activation en brouillant toutes leurs données. Les victimes reçoivent une clé de décodeur lorsqu’elles paient.
La chaîne d’épiceries suédoise Coop a déclaré que la plupart de ses 800 magasins seraient fermés pour une deuxième journée dimanche parce que leur fournisseur de logiciels de caisse enregistreuse était paralysé. Une chaîne de pharmacies suédoise, une chaîne de stations-service, le chemin de fer national et le radiodiffuseur public SVT ont également été touchés.
En Allemagne, une société de services informatiques anonyme a déclaré aux autorités que plusieurs milliers de ses clients avaient été compromis, a rapporté l’agence de presse dpa. Parmi les victimes signalées figuraient également deux grandes sociétés de services informatiques néerlandaises – VelzArt et Hoppenbrouwer Techniek. La plupart des victimes de rançongiciels ne signalent pas publiquement les attaques et ne divulguent pas si elles ont payé des rançons.
Le PDG Fred Voccola de la société de logiciels piratée, Kaseya, a estimé le nombre de victimes à quelques milliers, principalement de petites entreprises comme «des cabinets dentaires, des cabinets d’architecture, des centres de chirurgie plastique, des bibliothèques, des choses comme ça».
Voccola a déclaré dans une interview que seuls 50 à 60 des 37 000 clients de l’entreprise étaient compromis. Mais 70 % étaient des fournisseurs de services gérés qui utilisent le logiciel VSA piraté de l’entreprise pour gérer plusieurs clients. Il automatise l’installation des mises à jour logicielles et de sécurité et gère les sauvegardes et autres tâches vitales.
Les experts disent que ce n’est pas un hasard si REvil a lancé l’attaque au début du week-end de vacances du 4 juillet, sachant que les bureaux américains seraient peu dotés en personnel. De nombreuses victimes pourraient ne pas en être informées avant d’être de retour au travail lundi. La grande majorité des clients finaux des fournisseurs de services gérés « n’ont aucune idée » du type de logiciel utilisé pour faire fonctionner leurs réseaux, a déclaré Voccola,
Kaseya a déclaré avoir envoyé un outil de détection à près de 900 clients samedi soir.
John Hammond de Huntress Labs, l’une des premières entreprises de cybersécurité à tirer la sonnette d’alarme sur l’attaque, a déclaré qu’il avait vu des demandes de 5 millions de dollars et 500 000 dollars de REVil pour la clé de décryptage nécessaire pour déverrouiller les réseaux brouillés. Le plus petit montant demandé semble avoir été de 45 000 $.
Les gangs de rançongiciels sophistiqués au niveau de REvil examinent généralement les dossiers financiers d’une victime – et les polices d’assurance si elles peuvent les trouver – à partir de fichiers qu’ils volent avant d’activer le logiciel malveillant de brouillage des données. Les criminels menacent alors de jeter les données volées en ligne à moins qu’elles ne soient payées. Cependant, il n’était pas immédiatement clair si cette attaque impliquait un vol de données. Le mécanisme d’infection suggère que non.
« Le vol de données demande généralement du temps et des efforts à l’attaquant, ce qui n’est probablement pas réalisable dans un scénario d’attaque comme celui-ci où il y a tant de petites et moyennes entreprises victimes », a déclaré Ross McKerchar, responsable de la sécurité de l’information chez Sophos. « Nous n’avons pas vu de preuves de vol de données, mais il est encore tôt et seul le temps dira si les attaquants recourent à jouer cette carte dans le but de faire payer les victimes. »
Des chercheurs néerlandais ont déclaré avoir alerté Kaseya, basé à Miami, de la violation et ont déclaré que les criminels avaient utilisé un « jour zéro », le terme de l’industrie désignant une précédente faille de sécurité inconnue dans les logiciels. Voccola n’a pas confirmé cela ni donné de détails sur la violation, sauf pour dire qu’il ne s’agissait pas d’hameçonnage.
« Le niveau de sophistication ici était extraordinaire », a-t-il déclaré.
Lorsque la société de cybersécurité Mandiant aura terminé son enquête, Voccola a déclaré qu’il était convaincu que cela montrerait que les criminels n’avaient pas seulement violé le code de Kaseya en pénétrant dans son réseau, mais avaient également exploité les vulnérabilités de logiciels tiers.
Ce n’était pas la première attaque de ransomware à tirer parti des fournisseurs de services gérés. En 2019, des criminels ont entravé les réseaux de 22 municipalités du Texas à travers une seule. Cette même année, 400 cabinets dentaires américains ont été paralysés lors d’une autre attaque.
L’un des chercheurs néerlandais sur la vulnérabilité, Victor Gevers, a déclaré que son équipe s’inquiétait de produits comme le VSA de Kaseya en raison du contrôle total des vastes ressources informatiques qu’ils peuvent offrir. « De plus en plus de produits utilisés pour assurer la sécurité des réseaux présentent des faiblesses structurelles », a-t-il écrit dimanche sur un blog.
La société de cybersécurité ESET a identifié des victimes dans au moins 17 pays, dont le Royaume-Uni, l’Afrique du Sud, le Canada, l’Argentine, le Mexique, l’Indonésie, la Nouvelle-Zélande et le Kenya.
Kaseya affirme que l’attaque n’a touché que les clients « sur site », les organisations exploitant leurs propres centres de données, par opposition à ses services basés sur le cloud qui exécutent des logiciels pour les clients. Cependant, il a également fermé ces serveurs par précaution.
Kaseya, qui a appelé vendredi ses clients à fermer immédiatement leurs serveurs VSA, a déclaré dimanche qu’il espérait disposer d’un correctif dans les prochains jours.
Actif depuis avril 2019, REvil fournit un ransomware en tant que service, ce qui signifie qu’il développe le logiciel paralysant le réseau et le loue à de soi-disant affiliés qui infectent des cibles et gagnent la part du lion des rançons. Les responsables américains affirment que les gangs de rançongiciels les plus puissants sont basés en Russie et dans les États alliés et opèrent avec la tolérance du Kremlin et sont parfois de connivence avec les services de sécurité russes.
L’expert en cybersécurité Dmitri Alperovitch du groupe de réflexion Silverado Policy Accelerator a déclaré que même s’il ne croit pas que l’attaque de Kaseya soit dirigée par le Kremlin, cela montre que Poutine « n’a pas encore bougé » pour arrêter les cybercriminels.
