Les MSP en alerte après l'attaque contre Kaseya VSA

Vendredi soir, le gang REvil a mené une vaste offensive contre des MSP en utilisant une faille non corrigée dans les serveurs VSA de Kaseya. Crédit Photo : TheDigitalArtist/Pixabay

Vendredi soir, le gang REvil a mené une vaste offensive contre des MSP en utilisant une faille non corrigée dans les serveurs VSA de Kaseya. Crédit Photo : TheDigitalArtist/Pixabay

Kaseya recommande fortement que les serveurs VSA installés sur sites restent fermés jusqu'à nouvel ordre. Un outil doit avoir été mis à la disposition des fournisseurs de services managés pour détecter les systèmes corrompus.

Une attaque menée par des cybercriminels contre le logiciel de gestion et de surveillance à distance VSA de Kaseya fait planer sur les fournisseurs de services managés (MSP) et leurs clients le risque d'être victimes d'un ransomware utilisant la solmution comme moyen de déploiement.

Le PDG du fournisseur américain de solutions de gestion d'infrastructures informatiques, Fred Voccola, a posté un message en ligne où il indique que l'équipe de gestion de crise de l'entreprise a pris connaissance le 2 juillet d'un incident de sécurité potentiel impliquant son logiciel VSA.

Kaseya met ses propres serveurs VSA hors ligne

Il est vite devenu évident que le produit VSA avait été victime d'une cyberattaque sophistiquée, le fournisseur recommandant fortement que les serveurs VSA de ses clients sur site restent fermés jusqu'à nouvel ordre. « Nous maintiendrons également nos serveurs SaaS hors ligne jusqu'à ce qu'il en soit décidé autrement », a déclaré Fred Voccola.

Kaseya VSA est utilisé par les MSP et d'autres prestataires IT pour délivrer aux entreprises des services de gestion de leurs systèmes informatiques. D'où l'impact potentiellement important et à l'échelle du globe de l'attaque.

Selon John Hammond, chercheur principal en sécurité au sein de la société de cybersécurité Huntress, vers 11 heures (heure de l'Est aux Etats-Unis) le 2 juillet, « de nombreux » serveurs Kaseya VSA ont été utilisés pour déployer des ransomwares. Les attaquants semble être affilié au groupe REvil, dont on pense qu'il est lié à la Russie.

Plus de 1 000 entreprises affectées

« Notre équipe continue d'enquêter sur l'attaque de la chaîne d'approvisionnement de Kaseya VSA qui affecte actuellement un nombre croissant de MSP, de revendeurs et leurs clients », a déclaré John Hammond. « Nous suivons environ 30 MSP aux États-Unis, en Australie, dans l'Union Européenne et en Amérique latine, où Kaseya VSA a été utilisé pour chiffrer plus de 1 000 entreprises et travaillons en collaboration avec nombre d'entre elles », a-t-il ajouté.

Tous ces serveurs VSA sont installé sur site et Huntress estime avec une grand degré de confiance que les cybercriminels ont exploité une faille pour accéder à ces serveurs. « Sur la base d'une analyse forensique, des notes de ransomware et de l'URL TOR, nous pensons fermement qu'un affilié REvil/Sodinokibi RaaS [ransomware-as-a-service] est à l'origine de ces intrusions », a précisé John Hammond.

Un outil de diagnostic mis à la disposition des MSP

À 21 heures le 3 juillet (heure des États-Unis), Kaseya a demandé que tous les serveurs VSA sur site restent hors ligne en attendant que celui-ci indique quand il sera sans risque de reprendre les opérations. L'éditeur a également déclaré qu'un correctif devra être installé avant de redémarrer le VSA, indiquant qu'il espérait être en mesure de préciser dans quelques heures le temps qu'il lui faudra pour le rendre disponible.

Parallèlement, Kaseya a indiqué qu'un nouvel outil de détection de corruption serait livré aux utilisateurs de Kaseya VSA tard dans la soirée du 3 juillet (heure des États-Unis) pour aider les partenaires à évaluer l'état de leurs systèmes et ceux de leurs clients.

s'abonner
aux newsletters

suivez-nous

Publicité

Derniers Dossiers

Publicité