Ce samedi 3 juillet, la société Kaseya a annoncé être victime d’une cyberattaque. Dans la foulée, l’entreprise a demandé à ses 40 000 clients de déconnecter immédiatement son logiciel VSA. Une quarantaine de clients ont malgré tout été infectés. Un millier d’entreprises risquent désormais d’être infectées et pourraient être victimes de tentatives d’extorsion.

Une nouvelle cyberattaque géante contre Kaseya

Après WannaCry et la cyberattaque SolarWinds, voici une nouvelle menace géante qui pèse sur plus de 1 000 entreprises à travers le monde. Comme à chaque fois, une seule petite faille dans une infrastructure peut permettre aux hackers de propager leur malware à l’infini.

Cette fois-ci c’est la société Kaseya, qui édite des logiciels de gestion de réseau informatique pour les entreprises, qui a été touchée. Selon l’entreprise américaine, il s’agit sans aucun doute d’une « cyberattaque très sophistiquée ». Une attaque déclenchée avec un timing « parfait », au moment du week-end du 4 juillet, date de la fête nationale aux États-Unis. Une récente étude montrait justement que la majorité des ransomwares ont lieu soit le week-end, soit la nuit, quand les équipes ne sont pas disponibles.

Cette nouvelle cyberattaque sur Kaseya semble assez classique dans le mode opératoire choisi par les hackers qui ont ciblé une société relais, pour toucher à travers elle un nombre important de structures. À la place de la mise à jour du logiciel VAS de Kaseya, certaines entreprises ont reçu un ransomware capable de paralyser leurs systèmes informatiques en chiffrant leurs données…

Le modus operandi classique du ransomware

En amont de l’attaque, des vulnérabilités avaient été signalées par une équipe de chercheurs en cybersécurité. Ensuite, les cybercriminels ont pu dérouler le schéma classique du ransomware : une fois les données bloquées, ils réclament une rançon pour récupérer l’accès aux données avant qu’elles soient publiées sur le web. Une quarantaine de sociétés ont vraisemblablement été touchées.

Selon la société Huntress Labs : « en se basant sur le nombre de fournisseurs de services informatiques qui nous demandent de l’aide et les commentaires que nous voyons sur ce fil, il est raisonnable de penser que cela pourrait potentiellement avoir un impact sur des milliers de petites entreprises ».

Le FBI travaille actuellement avec la société Kaseya pour tenter de limiter l’impact de l’attaque. La grande franchise suédoise de supermarchés, Coop, a dû fermer ce week-end près de 800 magasins à cause de cette cyberattaque. Les caisses étaient totalement bloquées.

Si la Russie se trouve derrière l’attaque, Biden promet une réponse

Selon Allan Liska, spécialiste des ransomwares pour Recorded Future : « c’est probablement la plus grande attaque par rançongiciel que nous ayons vue, en tout cas la plus grande depuis WannaCry ». WannCry est un ransomware qui a infecté des centaines de milliers d’ordinateurs dans plus de 150 pays en quelques heures. L’attaque avait pu être déployée grâce à des logiciels volés à la NSA. La Corée du Nord a été accusée par les États-Unis et le Royaume-Uni.

La menace cybercriminelle est de plus en plus forte pour les entreprises. En France, le Parlement pousse même pour créer un parquet dédié à la cybercriminalité, à l’image du parquet national antiterroriste. La Commission européenne a récemment déclaré qu’une unité spéciale pour se protéger des cyberattaques serait même créée prochainement. En effet, si en 2019 l’Europe n’enregistrait que 432 cyberattaques, en 2020, ce chiffre a quasiment doublé pour passer à 756…

La Russie, la Chine et la Corée du Nord font partie des pays desquels de nombreuses attaques sont déclenchées. Des groupes de hackers soutenus par les États sont généralement pointés du doigt. Dans le cas de cette nouvelle attaque contre Kaseya, c’est le groupe russe REvil qui pourrait avoir agi dans l’ombre. Les méthodes utilisées par les hackers sont similaires à celles employées par ce groupe de hackers russophones.

De son côté, Joe Biden a déclaré que : « les premiers indices ne montrent pas directement que le gouvernement russe puisse être à l’origine de cette attaque. En revanche, si la Russie en avait connaissance ou que c’est du fait du gouvernement, alors je dis à Vladimir Poutine que nous répondrons ».