L’Affaire Kaseya implique le rançongiciel REvil (Clé de déchiffrement)

Vous lisez 12 fils de discussion
  • Auteur
    Messages
    • #34792
      Nicolas Coolman
      Maître des clés

      L’Affaire Kaseya implique le rançongiciel REvil

      Affaire Kaseya : le ransomware REvil attaque sur un air de SolarWinds

      Un logiciel de supervision informatique, une fausse mise à jour, des victimes chez les MSP… L’affaire Kaseya a des airs de SolarWinds. Mais elle implique un ransomware : REvil.

      A-t-on affaire, avec Kaseya, à un « autre SolarWinds » ? Immanquablement, la question se pose. Mais de quoi parle-t-on vraiment ? (Sources)


      REvil, connu aussi sous le nom de Sodinobiki, est un logiciel malveillant de type rançongiciel. Son nom est un mot-valise, résultat de la contraction de Ransomware Evil. Le modèle économique est celui du RaaS. Il est apparu pour la première fois en avril 2019. 

      En janvier 2022, le FSB, le Service Fédéral de Sécurité de la fédération de Russie démantèle le groupe REvil. Il procède à l'arrestation de 14 hackers et confisque plusieurs millions d'euros de biens.


      Une cyberattaque est un acte malveillant envers un dispositif informatique via un réseau cybernétique. Une cyberattaque peut émaner de personnes isolées, Kevin Mitnick étant une des plus célèbres, d'un groupe de pirates ou plus récemment de vastes organisations ayant des objectifs géopolitiques.

      Les origines des cyberattaques sont multiples et proviennent le plus souvent d'attaques par rançongiciels, par phishing, par botnets ou via l'exploitation de failles critiques de sécurité dites Zero-Day.

      Les retards liés à l'application des mises à jours et correctifs d'applications accentue les risques d'intrusion dans les systèmes et les réseaux.


      Kaseya Limited est une société américaine de logiciels qui développe des logiciels de gestion de réseaux, de systèmes et d'infrastructures informatiques. Son siège est à Miami, en Floride, avec des succursales aux États-Unis, en Europe et en Asie-Pacifique. En juillet 2021, l’éditeur américain a signalée que son logiciel de gestion informatique VSA a été ciblé par le ransomware REvil.


      SolarWinds est une société américaine qui développe des logiciels professionnels permettant la gestion centralisée des réseaux, des systèmes et de l'infrastructure informatique. 

      Solarwinds propose la surveillance des réseaux multifournisseurs pour détecter les défauts et les éventuels problèmes de performance et de disponibilité. Il assure une surveillance de tous les environnements Cloud privés, publics et hybrides. Il prend en charge le déploiement multifournisseur Cloud, virtuels ou physiques.

      En décembre 2020, une cyber attaque à grande échelle s'appuyant sur l'un des produit de SolarWinds appelé Orion, utilisé par environ 33 000 clients des secteurs public et privé, est divulguée. De nombreux acteurs, dont le secrétaire d'Etat des Etats-Unis considèrent qu'elle a été perpétrée par les services de renseignement russes.

      Nicolas Coolman

    • #34822
      Nicolas Coolman
      Maître des clés

      Qu’est-il arrivé?

      La société de logiciels de gestion informatique Kaseya, une plate-forme de fournisseur de services de sécurité gérés ( MSSP ) basée sur le cloud qui permet aux MSSP d’effectuer la gestion des correctifs et la surveillance des clients pour leurs clients, a subi une attaque massive au cours du week-end, affectant de nombreuses organisations par ce qui semble être un attaque de la chaîne d’approvisionnement. (Sources)

      Nicolas Coolman

    • #34888
      Nicolas Coolman
      Maître des clés

      Les failles dans VSA de Kaseya connues depuis avril

      La chronologie et les détails sur les failles dans la plateforme VSA de Kaseya se dévoilent. L’éditeur a été sollicité début avril sur l’existence de 7 failles. Malgré son travail pour corriger les vulnérabilités, une a été utilisée par le ransomware REvil pour cibler des milliers d’entreprises via des MSP. (Sources)

      Nicolas Coolman

    • #34901
      Nicolas Coolman
      Maître des clés

      Kaseya : ce patch qu’on attend toujours

      En attendant le patch, les clients sont invités à se préparer. En première ligne, les installations sur site. Pour elles, la checklist va de l’isolation des serveurs à l’implémentation d’un agent antivirus. En l’occurrence, celui de FireEye Endpoint Security, pour lequel Kaseya va fournir des licences. (Sources)

      Nicolas Coolman

    • #34921
      Nicolas Coolman
      Maître des clés

      Kaseya met en garde contre une campagne de phishing poussant de fausses mises à jour de sécurité

      “Les spammeurs utilisent les informations sur l’incident de Kaseya pour envoyer de fausses notifications par e-mail qui semblent être des mises à jour de Kaseya. Ce sont des e-mails de phishing qui peuvent contenir des liens et/ou des pièces jointes malveillants”, a déclaré la société dans une alerte publiée jeudi soir.
      (Sources)

      Nicolas Coolman

    • #34943
      Nicolas Coolman
      Maître des clés

      Les victimes de REvil refusent de payer après une attaque de ransomware Kaseya défectueuse

      L’attaque du gang de ransomware REvil contre les MSP et leurs clients la semaine dernière aurait dû être couronnée de succès, mais des changements dans leurs tactiques et procédures typiques ont conduit à peu de paiements de rançon.

      Lorsque des gangs de ransomware mènent une attaque, ils pénètrent généralement dans un réseau et prennent du temps à voler des données et à supprimer des sauvegardes avant de finalement chiffrer les appareils de la victime.
      (Sources)

      Nicolas Coolman

    • #34949
      Nicolas Coolman
      Maître des clés

      Que faire des vulnérabilités de Kaseya et de PrintNightmare ?

      Pour ceux qui ne disposent pas d’équipes de sécurité spécialisées, comme les particuliers et les petites et moyennes entreprises (PME), il peut être à la fois déroutant et accablant de comprendre ce que vous devez faire face à l’un ou l’autre de ces événements de sécurité. (Sources)

      Nicolas Coolman

    • #34963
      Nicolas Coolman
      Maître des clés

      Kaseya corrige les vulnérabilités VSA utilisées dans l’attaque du ransomware REvil

      Kaseya a publié une mise à jour de sécurité pour les vulnérabilités zero-day de VSA utilisées par le gang de ransomware REvil pour attaquer les MSP et leurs clients. (Sources)

      Nicolas Coolman

    • #34977
      Nicolas Coolman
      Maître des clés

      Multiples vulnérabilités dans Kaseya VSA

      De multiples vulnérabilités ont été découvertes dans Kaseya VSA. Elles permettent à un attaquant de provoquer un contournement de la politique de sécurité, une atteinte à la confidentialité des données et une injection de code indirecte à distance (XSS). (Sources)

      Nicolas Coolman

    • #35047
      Nicolas Coolman
      Maître des clés

      Ransomware : REvil hors ligne après l’attaque contre Kaseya

      Le célèbre groupe de ransomware a vu ses sites fermer, après la cyberattaque qui a touché près de 1 500 organisations. En attendant l’explication officielle, les théories circulent. (Sources)

      Nicolas Coolman

    • #35165
      Nicolas Coolman
      Maître des clés

      Cyberattaque VSA : Kaseya a mis la main sur une clé de décryptage

      A la suite à la cyberattaque qui a touché son logiciel VSA, l’entreprise Kaseya a annoncé la mise à disposition d’une clé de décryptage pour les très nombreuses victimes.
      (Sources)

      Nicolas Coolman

    • #35311
      Nicolas Coolman
      Maître des clés

      Affaire Kaseya : analyse d’un bis repetita du ransomware

      Selon les premiers rapports, les attaquants ont probablement identifié et exploité une vulnérabilité leur permettant de compromettre la solution Virtual System Administrator (VSA) de Kaseya, qui est utilisée pour surveiller et gérer à distance les terminaux et les serveurs. (Sources)

      Nicolas Coolman

    • #35414
      Nicolas Coolman
      Maître des clés

      La clé de déchiffrement universelle REvil de Kaseya divulguée sur un forum de piratage

      La clé de déchiffrement universelle de l’attaque de REvil contre les clients de Kaseya a été divulguée sur des forums de piratage, permettant aux chercheurs d’avoir un premier aperçu de la clé mystérieuse.

      Le 2 juillet, le gang de ransomware REvil a lancé une attaque massive contre les fournisseurs de services gérés dans le monde entier en exploitant une vulnérabilité zero-day dans l’application de gestion à distance Kaseya VSA. (Sources)

      Nicolas Coolman

Vous lisez 12 fils de discussion
  • Vous devez être connecté pour répondre à ce sujet.
Retour haut de page