Une multitude d'entreprises menacées par une cyberattaque "sophistiqué

Bonjour Ribo

est ce une opportunité pour verimatrix?

Cordialement

V

(a w p/a f p) - 07/07/2021 | 06:22►Cyberattaque géante : Kaseya peine à redémarrer ses serveurs en toute sécurité

La société informatique américaine Kaseya, victime d'une cyberattaque au "rançongiciel" qui pourrait avoir affecté jusqu'à 1500 entreprises dans le monde, tente toujours de redémarrer ses serveurs pour permettre à ses milliers de clients d'accéder de nouveau à leurs services sur internet, après avoir dû admettre de nouvelles difficultés techniques.

Kaseya envisageait initialement de remettre en route ses machines lundi, mais la société a retardé à plusieurs reprises le moment où elle pensait pouvoir le faire en toute sécurité.

Dans un nouveau communiqué publié mardi à 22H00 (02H00 GMT), l'entreprise indique qu'en travaillant à redéployer son logiciel, "un problème a été découvert qui en a bloqué la diffusion".

La société a donc de nouveau reporté la remise en service de ses serveurs, promettant une nouvelle communication pour mercredi 08H00 (12H00 GMT).

Auparavant, Kaseya avait demandé à ses clients de garder leurs systèmes informatiques éteints jusqu'à ce qu'elle garantisse leur sécurité.

L'entreprise, qui fournit des services informatiques à quelque 40 000 sociétés dans vingt pays, assure que l'attaque dont elle a été victime vendredi a touché moins de 60 clients directs.

En ajoutant les victimes indirectes, à savoir les clients de ses clients, "nous pensons que moins de 1.500 entreprises au total ont été touchées", affirmait Kaseya lundi soir tard.

"Il semble que cela ait causé des dégâts minimes aux entreprises américaines", a indiqué mardi le président américain Joe Biden. Ses services étaient "encore en train de rassembler des informations sur l'ampleur de l'attaque", a-t-il dit, promettant des précisions "dans les jours à venir".

La chaîne de supermarchés suédoise Coop figure parmi les victimes indirectes de l'attaque, ses caisses ayant été paralysées lorsque son sous-traitant informatique, Visma Esscom, a été touché. La majorité des quelque 800 magasins Coop sont restés fermés mardi matin.

Les attaques par rançongiciel, quand un pirate crypte les données d'une entreprise et demande une rançon pour les débloquer, sont devenues fréquentes.

Les Etats-Unis ont été particulièrement frappés ces derniers mois par des assauts touchant de grandes entreprises comme le géant de la viande JBS ou le gestionnaire d'oléoducs Colonial Pipeline, mais aussi des collectivités locales et des hôpitaux.

Discussions entre Moscou et Washington

Selon de nombreux experts, les pirates à l'origine de cyberattaques par rançongiciel sont souvent installés en Russie et celle contre Kaseya a été menée par un affilié au groupe de hackers russophones connu sous le nom de REvil.

Comme elle s'est démultipliée en visant une entreprise fournissant des services informatiques à de nombreuses autres sociétés, "c'est probablement la plus grande attaque au rançongiciel de tous les temps", a affirmé Ciaran Martin, professeur de cybersécurité à l'université d'Oxford.

Une revendication publiée dimanche sur le blog du darknet "Happy Blog", associé dans le passé à REvil, réclame le paiement de 70 millions de dollars en bitcoins pour rendre publique la clef de déchiffrement. Les hackers affirment avoir atteint "un million d'appareils et de réseaux".

La porte-parole de la Maison Blanche Jen Psaki a indiqué mardi qu'à la suite d'un entretien entre les présidents Joe Biden et Vladimir Poutine mi-juin sur le sujet, des discussions entre des experts de haut niveau des deux pays ont été engagées.

Il est prévu une nouvelle réunion la semaine prochaine "qui sera dédiée aux attaques par rançongiciel", a-t-elle ajouté.

Le message de l'administration américaine reste le même, a assuré Mme Psaki: "Si le gouvernement russe ne peut pas ou ne veut pas prendre de mesures contre les acteurs criminels résidant en Russie, nous prendrons des mesures ou nous nous réservons le droit de prendre des mesures nous-mêmes."

Foire d'empoigne

L'attaque a touché les utilisateurs du logiciel VSA de Kaseya destiné à gérer à distance des réseaux de serveurs, d'ordinateurs et d'imprimantes.

Jacques de la Rivière, directeur général de la firme de cybersécurité française Gatewatcher, s'interroge sur le fait que REvil ait demandé une rançon unique.

"Les victimes ne vont jamais se cotiser pour avoir la clef de chiffrement" et les pirates "n'auront jamais aucune rémunération" pour cette attaque.

Pour lui, ses auteurs ont peut-être agi "dans la précipitation", pour ne pas être doublés par d'autres pirates également au courant de la faille.

"Comme il y a de plus en plus d'acteurs" qui cherchent à mener des attaques par rançongiciels, vu la rentabilité de ces opérations, "les types font n'importe quoi pour être les premiers à exploiter une faille", analyse-t-il.

Si les spécialistes eux même ne peuvent se défendre,c'est désespérant.Ou alors c'est faux ils jouent les victimes pour se donner une occasion d'agir, qui sait??

Ils s'en sont même pris à Adrexo. Encore un coup des Russes... Et bien sur l'Etat défaillant est incapable de mettre sur pied une institution de lutte contre la cybercriminalité. Vivement que les entreprises privées se saisissent du problème, ce sera salvateur.

Les Echos, qui relate le sujet, disent que la surprise va être se lundi matin à l'allumage des réseaux informatiques dans les entreprises !

le système qui se mord la queue c'est hilarant ou affligeant?

Berne (a w p/a t s/a f p) - 04/07/2021 | 19:12►Pour l'heure, pas d'annonces de dégâts en Suisse

Les autorités chargées en Suisse de la cybersécurité sont en contact avec le prestataire de services informatiques américain Kaseya. Celui-ci a été touché durant le week-end par une attaque de grande envergure avec un logiciel de chantage. On ignore pour l'heure si des entreprises suisses figurent parmi les victimes.

Le Centre national pour la cybersécurité (CNCS) n'a pas encore reçu d'annonces d'entreprises touchées en Suisse, a déclaré dimanche soir une porte-parole du Département fédéral des finances (DFF) à Keystone-ATS. Il est tout à fait possible qu'une éventuelle attaque n'ait pas encore été remarquée et qu'elle soit signalée lundi seulement, à la reprise du travail.

Le NCSC surveille la situation et est en contact avec Kaseya, a ajouté la porte-parole. Kaseya a qualifié l'attaque de "sophistiquée".

Les pirates ont utilisé une vulnérabilité chez le fournisseur de services informatiques américain Kaseya pour attaquer ses clients avec un programme qui crypte les données et demande une rançon. Les clients de Kaseya, à leur tour, sont souvent eux-mêmes des fournisseurs de services pour d'autres entreprises, créant une sorte d'effet domino.

Les conséquences ont été ressenties jusqu'en Suède, où la chaîne de supermarchés Coop a dû fermer samedi la quasi-totalité de ses magasins. L'ampleur des dégâts n'était pas encore connue. Selon l'entreprise spécialisée dans la sécurité informatique Huntress Labs, "plus de 1000 entreprises" ont été affectées par ce rançongiciel.

En cas d'incidents impliquant des chevaux de Troie de cryptage, le NCSC conseille, entre autres, de déconnecter immédiatement les systèmes infectés du réseau et de n'éteindre en aucun cas les appareils infectés avant que le logiciel malveillant n'ait été analysé par la police, le NCSC ou d'autres spécialistes.

New York (a w p/a f p) - 04/07/2021 | 21:01►Le FBI prévient de "l'ampleur" de la cyberattaque aux Etats-Unis

Le FBI, la police fédérale américaine, a souligné dimanche que "l'ampleur" de la cyberattaque en cours depuis vendredi contre la société américaine Kaseya pourrait l'empêcher de répondre à toutes les victimes individuellement.

Des hackers ont attaqué Kaseya vendredi, juste avant un week-end prolongé aux Etats-Unis, pour demander une rançon à potentiellement plus de 1.000 entreprises à travers son logiciel de gestion informatique.

Le FBI a indiqué samedi soir que ses services avaient ouvert une enquête et travaillaient avec l'Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) et d'autres agences "pour comprendre l'ampleur de la menace".

"Si vous pensez que vos systèmes ont été compromis, nous vous encourageons à utiliser toutes les mesures recommandées et à suivre les conseils de Kaseya pour arrêter immédiatement vos serveurs (liés au logiciel attaqué) et à faire un signalement au FBI", a ajouté la police américaine dans un message dimanche.

"Bien que l'ampleur de cet incident puisse nous empêcher de répondre à chaque victime individuellement, toutes les informations que nous recevrons seront utiles pour contrer cette menace", a aussi souligné le FBI.

Le président américain Joe Biden avait indiqué samedi soir avoir ordonné une enquête, notamment pour déterminer si l'attaque venait ou non de la Russie.

Pour l'instant, "nous ne sommes pas encore sûrs", avait-il alors déclaré.

Il est difficile d'estimer l'ampleur de cette attaque par rançoncigiel, ou "ransomware", un type de programme informatique qui paralyse les systèmes informatiques d'une entreprise puis exige une rançon pour les débloquer.

Selon Kaseya, moins de 40 clients ont été affectés. Mais certains d'entre eux ont eux-mêmes de nombreux clients et l'attaque a pu se disséminer auprès de centaines, voire de milliers d'entre eux.

Dans un nouveau message dimanche, l'entreprise a souligné qu'elle travaillait 24 heures sur 24, "dans toutes les zones géographiques", pour résoudre le problème et restaurer le service.

Elle espère pouvoir rétablir l'activité pour les clients utilisant son logiciel à distance "dans les 24 à 48 heures" et continue à travailler à un remède pour les clients utilisant son logiciel directement sur leurs appareils.

La société de sécurité informatique ESET Research avait, samedi, identifié des victimes dans 17 pays à travers le monde.

L'attaque a déjà conduit à la fermeture temporaire samedi de plusieurs centaines de magasins d'une grande chaîne de supermarchés en Suède, les caisses enregistreuses ne pouvant plus fonctionner.

Une multitude d'entreprises sont menacées par un attaque au rançongiciel géante aux Etats-Unis (AFP/Archives/Andrew CABALLERO-REYNOLDS)

Des hackers ont attaqué la société américaine Kaseya juste avant un week-end prolongé pour demander une rançon à potentiellement plus de 1.000 entreprises à travers son logiciel de gestion informatique.

Première conséquence directe: une grande chaîne de supermarchés en Suède a dû fermer samedi plus de 800 magasins, ses caisses étant paralysées par l'attaque.

Selon de nombreux experts, les pirates à l'origine de ce type d' attaque par rançongiciel sont souvent installés en Russie. Moscou, suspecté de couvrir voire d'être associé à leurs activités, dément toute implication.

Mais le phénomène prend une telle ampleur qu'il a été un des points principaux soulevé par le président américain Joe Biden lors de sa rencontre mi-juin avec son homologue russe Vladimir Poutine.

Joe Biden, qui a ordonné samedi une enquête, a affirmé que "la première réflexion était qu'il ne s'agissait pas du gouvernement russe, mais nous ne sommes pas encore sûrs".

"J'en saurai plus demain", a-t-il dit, et s'il s'avère que cela s'est produit alors que la Russie en avait connaissance et/ou que c'est du fait de la Russie, alors j'ai dit à Poutine que nous répondrons", a déclaré le président américain.

Il est difficile pour l'instant d'estimer l'ampleur de cette attaque par rançoncigiel, ou "ransomware", un type de programme informatique qui paralyse les systèmes informatiques d'une entreprise puis exige une rançon pour les débloquer.

Kaseya, qui s'est rendue compte vendredi à la mi-journée sur la côte est-américaine d'un possible incident sur son logiciel VSA, a assuré qu'elle avait été circonscrite "à moins de 40 clients dans le monde".

- "Sans précédent" -

Mais ces derniers fournissent eux-mêmes des services à d'autres sociétés, ce qui permet aux pirates de démultiplier leur attaque.

Selon l'entreprise spécialisée dans la sécurité informatique Huntress Labs, "plus de 1.000 entreprises" ont été affectées par ce rançongiciel.

"En se basant sur le nombre de fournisseurs de services informatiques qui nous demandent de l'aide et les commentaires que nous voyons sur ce fil, il est raisonnable de penser que cela pourrait potentiellement avoir un impact sur des milliers de petites entreprises", avance même Huntress Labs dans un message sur le forum Reddit.

"On n'a pour le moment aucune donnée sur le nombre de sociétés concernées", remarque Brett Callow, expert en cybersécurité chez Emsisof. Mais l'ampleur de l'attaque est probablement "sans précédent".

Basée à Miami, Kaseya vend des outils informatiques aux entreprises, dont le logiciel VSA destiné à gérer des réseaux de serveurs, ordinateurs et imprimantes depuis une seule source. Elle revendique plus de 40.000 clients.

Des cables dans un centre de données dans la banlieue de Dublin, le 10 décembre 2018 (AFP/PAUL FAITH)

Les attaques par rançongiciel sont devenues fréquentes et les Etats-Unis ont été particulièrement frappés ces derniers mois par des assauts touchant aussi bien des grandes entreprises comme le géant de la viande JBS ou le gestionnaire d'oléoducs Colonial Pipeline, que des collectivités locales et des hôpitaux.

"Cette dernière attaque au rançongiciel qui affecte des centaines d'entreprises est une piqure de rappel pour le gouvernement américain, qui doit lutter contre ces groupes cybercriminels étrangers", a jugé de son côté Christopher Roberti, chargé de la cybersécurité à la Chambre de commerce américaine.

L'Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) "surveille de près la situation", selon Eric Goldstein, l'un de ses responsables.

"Nous travaillons avec Kaseya et nous coordonnons avec le FBI pour mener des actions de sensibilisation auprès des victimes susceptibles d'être touchées", a-t-il ajouté dans un message transmis à l'AFP.

- Faire la queue pour payer -

La nature de l'attaque est similaire à celle utilisée avec l'éditeur de logiciels de gestion informatique SolarWinds, qui avait touché en 2020 des organisations gouvernementales et des entreprises américaine.

Sauf que cette dernière, imputée par Washington aux services secrets russes, était plutôt "dans une logique d'espionnage, alors qu'on est là dans une logique d'extorsion", souligne Gérome Billois, expert en cybersécurité du cabinet de conseil Wavestone.

Selon Huntress Labs, à en croire les méthodes utilisées, les notes de rançongiciel et l'adresse internet fournie par les hackers, c'est un affilié au groupe de hackeurs connu sous les noms de REvil ou Sodinokibi qui serait à l'origine de ces intrusions.

Le FBI a imputé à ce groupe la cyberattaque contre JBS fin mai.

L'attaque lancée vendredi est "l'une des plus importantes et étendues que j'ai vues dans ma carrière", estime Alfred Saikali, du cabinet d'avocat Shook, Hardy & Bacon, qui a l'habitude de traiter ce genre de situations.

Il est en général recommandé de ne pas payer la rançon, souligne-t-il. Mais parfois, en particulier quand les données ne peuvent pas être sauvegardées, "il n'y a pas le choix", reconnaît-il.

Si plusieurs entreprises choisissent de payer, il n'est pas sûr que le groupe de hackers "ait les capacités de gérer des conversations simultanées", remarque par ailleurs M. Callow.

"Si elles doivent faire la queue pour négocier, le temps perdu peut revenir très cher".

© 2021 AFP