- Ce sujet contient 12 réponses, 1 participant et a été mis à jour pour la dernière fois par
, le il y a 2 années et 1 mois.
-
Messages
-
-
L’Affaire Kaseya implique le rançongiciel REvil
Affaire Kaseya : le ransomware REvil attaque sur un air de SolarWinds
Un logiciel de supervision informatique, une fausse mise à jour, des victimes chez les MSP… L’affaire Kaseya a des airs de SolarWinds. Mais elle implique un ransomware : REvil.
A-t-on affaire, avec Kaseya, à un « autre SolarWinds » ? Immanquablement, la question se pose. Mais de quoi parle-t-on vraiment ? (Sources)
REvil, connu aussi sous le nom de Sodinobiki, est un logiciel malveillant de type rançongiciel. Son nom est un mot-valise, résultat de la contraction de Ransomware Evil. Le modèle économique est celui du RaaS. Il est apparu pour la première fois en avril 2019.En janvier 2022, le FSB, le Service Fédéral de Sécurité de la fédération de Russie démantèle le groupe REvil. Il procède à l'arrestation de 14 hackers et confisque plusieurs millions d'euros de biens.
Une cyberattaque est un acte malveillant envers un dispositif informatique via un réseau cybernétique. Une cyberattaque peut émaner de personnes isolées, Kevin Mitnick étant une des plus célèbres, d'un groupe de pirates ou plus récemment de vastes organisations ayant des objectifs géopolitiques. Les origines des cyberattaques sont multiples et proviennent le plus souvent d'attaques par rançongiciels, par phishing, par botnets ou via l'exploitation de failles critiques de sécurité dites Zero-Day. Les retards liés à l'application des mises à jours et correctifs d'applications accentue les risques d'intrusion dans les systèmes et les réseaux. Des exploits dormants infectent les systèmes et les réseaux non corrigés en vue de leur future activation. Un procédé qui permet de masquer l'origine de l'attaque et de voler des informations confidentielles dans un but lucratif.
Kaseya Limited est une société américaine de logiciels qui développe des logiciels de gestion de réseaux, de systèmes et d'infrastructures informatiques. Son siège est à Miami, en Floride, avec des succursales aux États-Unis, en Europe et en Asie-Pacifique. En juillet 2021, l’éditeur américain a signalée que son logiciel de gestion informatique VSA a été ciblé par le ransomware REvil.SolarWinds est une société américaine qui développe des logiciels professionnels permettant la gestion centralisée des réseaux, des systèmes et de l'infrastructure informatique. Solarwinds propose la surveillance des réseaux multifournisseurs pour détecter les défauts et les éventuels problèmes de performance et de disponibilité. Il assure une surveillance de tous les environnements Cloud privés, publics et hybrides. Il prend en charge le déploiement multifournisseur Cloud, virtuels ou physiques. En décembre 2020, une cyber attaque à grande échelle s'appuyant sur l'un des produit de SolarWinds appelé Orion, utilisé par environ 33 000 clients des secteurs public et privé, est divulguée. De nombreux acteurs, dont le secrétaire d'Etat des Etats-Unis considèrent qu'elle a été perpétrée par les services de renseignement russes.
Nicolas Coolman
-
Qu’est-il arrivé?
La société de logiciels de gestion informatique Kaseya, une plate-forme de fournisseur de services de sécurité gérés ( MSSP ) basée sur le cloud qui permet aux MSSP d’effectuer la gestion des correctifs et la surveillance des clients pour leurs clients, a subi une attaque massive au cours du week-end, affectant de nombreuses organisations par ce qui semble être un attaque de la chaîne d’approvisionnement. (Sources)
Nicolas Coolman
-
Les failles dans VSA de Kaseya connues depuis avril
La chronologie et les détails sur les failles dans la plateforme VSA de Kaseya se dévoilent. L’éditeur a été sollicité début avril sur l’existence de 7 failles. Malgré son travail pour corriger les vulnérabilités, une a été utilisée par le ransomware REvil pour cibler des milliers d’entreprises via des MSP. (Sources)
Nicolas Coolman
-
Kaseya : ce patch qu’on attend toujours
En attendant le patch, les clients sont invités à se préparer. En première ligne, les installations sur site. Pour elles, la checklist va de l’isolation des serveurs à l’implémentation d’un agent antivirus. En l’occurrence, celui de FireEye Endpoint Security, pour lequel Kaseya va fournir des licences. (Sources)
Nicolas Coolman
-
Kaseya met en garde contre une campagne de phishing poussant de fausses mises à jour de sécurité
“Les spammeurs utilisent les informations sur l’incident de Kaseya pour envoyer de fausses notifications par e-mail qui semblent être des mises à jour de Kaseya. Ce sont des e-mails de phishing qui peuvent contenir des liens et/ou des pièces jointes malveillants”, a déclaré la société dans une alerte publiée jeudi soir.
(Sources)Nicolas Coolman
-
Les victimes de REvil refusent de payer après une attaque de ransomware Kaseya défectueuse
L’attaque du gang de ransomware REvil contre les MSP et leurs clients la semaine dernière aurait dû être couronnée de succès, mais des changements dans leurs tactiques et procédures typiques ont conduit à peu de paiements de rançon.
Lorsque des gangs de ransomware mènent une attaque, ils pénètrent généralement dans un réseau et prennent du temps à voler des données et à supprimer des sauvegardes avant de finalement chiffrer les appareils de la victime.
(Sources)Nicolas Coolman
-
Que faire des vulnérabilités de Kaseya et de PrintNightmare ?
Pour ceux qui ne disposent pas d’équipes de sécurité spécialisées, comme les particuliers et les petites et moyennes entreprises (PME), il peut être à la fois déroutant et accablant de comprendre ce que vous devez faire face à l’un ou l’autre de ces événements de sécurité. (Sources)
Nicolas Coolman
-
Kaseya corrige les vulnérabilités VSA utilisées dans l’attaque du ransomware REvil
Kaseya a publié une mise à jour de sécurité pour les vulnérabilités zero-day de VSA utilisées par le gang de ransomware REvil pour attaquer les MSP et leurs clients. (Sources)
Nicolas Coolman
-
Multiples vulnérabilités dans Kaseya VSA
De multiples vulnérabilités ont été découvertes dans Kaseya VSA. Elles permettent à un attaquant de provoquer un contournement de la politique de sécurité, une atteinte à la confidentialité des données et une injection de code indirecte à distance (XSS). (Sources)
Nicolas Coolman
-
Ransomware : REvil hors ligne après l’attaque contre Kaseya
Le célèbre groupe de ransomware a vu ses sites fermer, après la cyberattaque qui a touché près de 1 500 organisations. En attendant l’explication officielle, les théories circulent. (Sources)
Nicolas Coolman
-
Cyberattaque VSA : Kaseya a mis la main sur une clé de décryptage
A la suite à la cyberattaque qui a touché son logiciel VSA, l’entreprise Kaseya a annoncé la mise à disposition d’une clé de décryptage pour les très nombreuses victimes.
(Sources)Nicolas Coolman
-
Affaire Kaseya : analyse d’un bis repetita du ransomware
Selon les premiers rapports, les attaquants ont probablement identifié et exploité une vulnérabilité leur permettant de compromettre la solution Virtual System Administrator (VSA) de Kaseya, qui est utilisée pour surveiller et gérer à distance les terminaux et les serveurs. (Sources)
Nicolas Coolman
-
La clé de déchiffrement universelle REvil de Kaseya divulguée sur un forum de piratage
La clé de déchiffrement universelle de l’attaque de REvil contre les clients de Kaseya a été divulguée sur des forums de piratage, permettant aux chercheurs d’avoir un premier aperçu de la clé mystérieuse.
Le 2 juillet, le gang de ransomware REvil a lancé une attaque massive contre les fournisseurs de services gérés dans le monde entier en exploitant une vulnérabilité zero-day dans l’application de gestion à distance Kaseya VSA. (Sources)
Nicolas Coolman
-
- Vous devez être connecté pour répondre à ce sujet.