70 millions de dollars exigés alors que les attaquants de REvil revendiquent 1 million de systèmes touchés

Il y a quelques semaines, nous vous proposions un article sur les ransomwares et comment lutter à minima contre ces attaques qui peuvent faire chuter les plus grands., ce qui est le cas aujourd’hui.

Un gang de cybercriminalité notoire connu sous le nom de REvil ont réalisé une des plus importantes attaques de ransomware que le monde ait connue. L’attaque du week-end du Jour de l’Indépendance contre les “Managed Service Providers (MSP), des organisations qui fournissent des services de gestion d’infrastructure informatique à distance pour plusieurs clients, a commencé en ciblant un fournisseur d’outils logiciels MSP, Kaseya.

L’attaque du ransomware Kaseya frappe la supply-chain mondiale

Certains clients de Kaseya ont été touchés par un package de mise à jour compromis pour les utilisateurs de la plate-forme VSA de surveillance à distance de Kaseya. Parce que ces clients étaient des MSP avec de nombreux clients, les chiffres ont rapidement commencé à se multiplier. Ainsi, alors que l’infection initiale du ransomware était limitée à quelques dizaines de clients Kaseya, la nature de la chaîne d’approvisionnement des événements signifiait que chacune de ces 30 à 40 premières victimes avait le potentiel d’en infecter beaucoup plus.

Il est rapidement devenu évident que nous parlions de milliers de petites entreprises impactées et de dizaines de milliers de systèmes verrouillés.

L’un des rares points positifs ici est qu’il ne semble pas y avoir de preuve d’exfiltration de données avant le cryptage, de sorte que les organisations ne soient pas confrontées à ce problème supplémentaire.

1 million de systèmes touchés selon les attaquants

Bien que j’ai tendance à ne pas toujours accepter les déclarations des cybercriminels, une publication du groupe REvil sur leur site Web a affirmé que “plus d’un million de systèmes ont été infectés” par “l’attaque contre les fournisseurs MSP“. Bien entendu, la différence entre les systèmes, les entreprises clientes et les MSP doit être prise en compte ici. Pourtant, c’est certainement à ce stade qu’il pourrait s’agir d’une attaque de ransomware d’une portée sans précédent.

« Il s’agit de l’une des attaques de ransomwares criminels les plus étendues que Sophos ait jamais vues », a déclaré Ross McKerchar, responsable de la sécurité des informations chez Sophos, « à l’heure actuelle, nos preuves montrent que plus de 70 fournisseurs de services gérés ont été touchés, résultant dans plus de 350 autres organisations touchées. Nous nous attendons à ce que le nombre total d’organisations de victimes soit plus élevé que ce qui est signalé par n’importe quelle entreprise de sécurité individuelle. Les victimes sont réparties dans divers endroits dans le monde, la plupart aux États-Unis, en Allemagne et au Canada, et d’autres dans Australie, Royaume-Uni et autres régions.”

Une rançon de 70 millions de dollars pour une clé de déchiffrement mondiale

Alors que les renseignements ont révélé qu’il y avait eu des demandes de rançon de $45,000.- pour chaque machine cryptée qui n’était pas « rattaché à un domaine » et de 5 millions de dollars pour un « domaine entier », REvil est rapidement revenu sur le nombre le plus important qui semblerait apparaître. Bleeping Computer a assisté à certaines des négociations et une victime avec une douzaine de domaines cryptées a été invitée à payer une rançon de $500,000.-.

“Ne vous y trompez pas, le moment et la cible de cette attaque ne sont pas une coïncidence. Cela illustre ce que nous définissons comme une attaque de chasse au gros gibier”, a déclaré Adam Meyers, vice-président senior de CrowdStrike Intelligence, “lancé contre une cible pour maximiser l’impact et profit grâce à une chaîne d’approvisionnement pendant un week-end de vacances lorsque les défenses commerciales sont en panne. Ce que nous voyons maintenant en termes de victimes n’est probablement que la pointe de l’iceberg. “

Maintenant, REvil a de nouveau déplacé les objectifs : ce même article de blog sur le dark web indiquait que le groupe serait prêt à négocier la publication d’une clé de décryptage universelle, qui déverrouillerait chaque machine touchée à travers le monde au cours du week-end, pour 70 millions de dollars.

Il a été rapporté que les victimes sont réparties dans au moins 17 pays. En Suède, par exemple, jusqu’à 500 des 800 supermarchés exploités par la Swedish Coop ont été contraints de fermer lorsque leurs caisses ont cessé de fonctionner.

Biden ordonne aux agences de renseignement d’enquêter sur les liens avec la Russie

Le président Biden a déjà déclaré que “ce n’était pas le gouvernement russe”, mais a ajouté qu’il n’était pas encore sûr et que les agences de renseignement américaines devaient enquêter.

Donc, cela pourrait encore se retourner contre REvil, étant donné que nous parlons ici d’un gang criminel plutôt que d’un groupe d’espionnage parrainé par l’État. De plus, bien que l’on sache que les opérateurs de REvil sont russophones, ce n’est pas la même chose que de confirmer que REvil fonctionne absolument depuis la Russie ou, en fait, est en quelque sorte protégé par l’État russe.

L’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a publié des directives à l’intention des MSP et des clients touchés par l’attaque par ransomware. Kaseya, qui a réagi admirablement sous la pression d’un tel incident en agissant rapidement pour mettre les services hors ligne afin d’éviter d’autres dommages et en le faisant de manière très transparente, publie des mises à jour ici.