WASHINGTON : Une attaque de ransomware a paralysé les réseaux d'au moins 200 entreprises américaines vendredi, selon un chercheur en cybersécurité dont son entreprise a réagi à l'incident.
Le gang REvil, un important syndicat de ransomware russophone, semble être à l'origine de l'attaque, a révélé John Hammond de la firme de sécurité Huntress Labs. Il a affirmé que les criminels avaient ciblé un fournisseur de logiciels appelé Kaseya, utilisant son dispositif complet de gestion de réseau comme moyen de diffuser le ransomware via des fournisseurs de services cloud. D'autres chercheurs sont également d'accord avec l'évaluation de Hammond.
«L’entreprise Kaseya gère les grandes entreprises jusqu'aux petites entreprises dans le monde entier, donc en fin de compte, cela a le potentiel de s'étendre à n'importe quelle taille d'entreprise», a écrit Hammond dans un message direct sur Twitter. «Il s’agit ici d’une attaque colossale et dévastatrice de la chaîne logistique».
De telles cyberattaques infiltrent généralement des logiciels largement utilisés et propagent des logiciels malveillants lors de leur mise à jour automatique.
On ne savait pas exactement combien de clients de Kaseya pourraient être touchés ou de qui s’agit-il vraiment. Kaseya a exhorté les clients dans une déclaration publiée sur son site Web à fermer immédiatement les serveurs exploitant le logiciel concerné. Elle a signalé que l'attaque était limitée à un «petit nombre» de ses clients.
Brett Callow, un expert en ransomware de la société de cybersécurité Emsisoft, a assuré qu'il n'était au courant d'aucune attaque de chaîne logistique de ransomware à cette échelle. Il y en a eu d'autres, mais ils étaient assez mineurs, a-t-il ajouté.
«C'est un logiciel de la société américaine SolarWinds avec un ransomware», a-t-il affirmé. Il faisait référence à une campagne de piratage de cyber espionnage russe découverte en décembre qui s'est propagée en infectant des logiciels de gestion de réseau pour infiltrer les agences fédérales américaines et des dizaines d'entreprises.
Le chercheur en cybersécurité Jake Williams, président de Rendition Infosec, a indiqué qu'il travaillait déjà avec six entreprises touchées par le ransomware. Ce n'est pas un hasard si cela s'est produit avant le week-end du 4 juillet, lorsque le personnel informatique est généralement réduit, a-t-il ajouté.
«Il n'y a aucun doute dans mon esprit que le moment choisi ici était intentionnel», a-t-il expliqué.
Hammond de la firme de sécurité Huntress Labs a confié qu'il était au courant que quatre fournisseurs de services managés ; des entreprises qui hébergent une infrastructure informatique pour plusieurs clients, étaient touchés par le ransomware, qui encode les réseaux jusqu'à ce que les victimes paient les attaquants. Il a averti que des milliers d'ordinateurs ont été touchés.
«Nous avons actuellement trois partenaires de Huntress Labs qui sont gèrent environ 200 entreprises qui ont été encodées», a clarifié Hammond.
Hammond a écrit sur Twitter : «Sur la base de tout ce que nous voyons en ce moment, nous croyons fermement que ceci est le ransomware REvil/Sodinikibi». Le FBI a lié le même fournisseur de ransomware à une attaque en mai contre JBS SA, un important transformateur mondial de viande.
L'Agence fédérale de cybersécurité et de sécurité des infrastructures a déclaré vendredi soir dans un communiqué qu'elle surveillait de près la situation et travaillait avec le FBI pour recueillir plus d'informations sur l’impact de ce ransomware.
L’Auditeur certifié des systèmes d'information CISA a exhorté toute personne susceptible d'être affectée à «suivre les conseils de Kaseya pour arrêter immédiatement les serveurs VSA». Kaseya gère ce qu'on appelle un administrateur système virtuel, ou VSA, qui est utilisé pour gérer et surveiller à distance le réseau informatique d'un client.
La société privée Kaseya est installée à Dublin, en Irlande, avec un siège américain à Miami. Le Miami Herald a récemment décrit Keseya comme «l'une des plus anciennes entreprises technologiques de Miami» dans un rapport sur son projet d'embaucher jusqu'à 500 employés d'ici 2022 pour pourvoir en personnel une plate-forme de cybersécurité récemment acquise.
Ce texte est la traduction d’un article paru sur Arabnews.com