Les mots cyberattaque et cybersécurité deviennent courants sur le Web, d’autant plus que l’on parle de plus en plus de ces deux termes. C’est devenu quelque chose auquel nous devons tous faire attention et nous y préparer, la plupart d’entre nous passant de plus en plus de temps en ligne.
Juste avant le week-end férié du 4 juillet, au lieu de célébrer l’indépendance, un éditeur de logiciels a passé la journée à essayer de nettoyer une attaque. Il s’agit de l’attaque par ransomware Kaseya VSA, qui a été liée à plus de 1500 entreprises selon les enquêtes menées jusqu’à présent. Ci-dessous, nous entrerons dans les détails et énumérerons quelques mesures que vous pouvez prendre pour assurer votre sécurité.
Qu’est-ce qu’une attaque de ransomware ?
L’attaque a été lancée à l’aide d’un ransomware, une forme de logiciel malveillant responsable de la disparition du système d’exploitation. Les ransomwares fonctionnent en capturant un système informatique et en le cryptant d’une manière que les entreprises sont incapables de déchiffrer. With all data encrypted, they send out a message seeking payment in exchange for the return of data, sometimes destroying everything in its path if companies do not comply.
Toutes les données étant cryptées, ils envoient un message demandant un paiement en échange de la restitution des données, détruisant parfois tout sur son passage si les entreprises ne s’y conforment pas. Dans le cas de Kaseya, les enquêtes ont révélé que le ransomware était capable d’attaquer sa chaîne d’approvisionnement, en raison d’une vulnérabilité dans son logiciel utilisé par les fournisseurs de services gérés (MSP).
La tactique
La vulnérabilité ayant été découverte dans les MSP, de nombreux clients de Kaseya étaient à l’abri. Cependant, ce sont toutes leurs petites associations professionnelles qui ont été attaquées, ce qui représente jusqu’à présent un total de 1 500 personnes. Les attaquants ont profité du fait que Kaseya envoie et reçoit constamment des données. Leur surface d’attaque étant vaste, les pirates ont eu de nombreuses opportunités de repérer les configurations faibles et de capturer des données.
Dès que ces cybercriminels sophistiqués ont pu y accéder, ce n’était qu’une question de temps avant qu’ils n’exécutent des logiciels malveillants et des charges utiles. Une fois le malware en place, il n’a fallu que peu de temps aux attaquants pour chiffrer toutes les données et les rendre illisibles et inaccessibles, exigeant de l’argent en échange de la clé de déchiffrement.
Le résultat
Même si cela aurait pu être bien pire, Kaseya a envoyé un message massif à tous ses clients leur recommandant de fermer leurs serveurs VSA afin de se protéger d’une attaque potentielle. Ce faisant, les dégâts ont été bien moindres qu’ils auraient pu l’être, les professionnels de la cybersécurité de Kaseya ayant pris le relais et fait rapidement la lumière sur l’attaque.
Même si beaucoup ont réagi rapidement, cela n’a pas empêché certains clients d’être victimes de mises à jour malveillantes. Invités à effectuer la mise à jour, plusieurs utilisateurs ont cliqué sur « ok », ce qui a également infecté leur ordinateur.
Qui a été touché ?
Tout cela s’est produit en quelques jours seulement, ce qui a amené Kaseya à analyser le résultat. Ils ont constaté que moins de 40 clients ont été victimes, même si ce sont les petites entreprises qui ont été les plus touchées. Ces petites entreprises disposent également d’informations sur leurs clients dans leurs bases de données, ce qui, si elles étaient exploitées, entraînerait encore plus de dommages et des coûts plus élevés.
Pourtant, les représentants de l’entreprise affirment qu’il n’y a vraiment eu aucun mal et que leur infrastructure en ligne est toujours solide, affirmant qu’ils ont tout prêt et mis à jour pour continuer à avancer. Ils ont la chance d’avoir détecté et stoppé la propagation si rapidement, contribuant ainsi à éviter d’autres conséquences qui auraient pu survenir si le ransomware avait dû se propager ne serait-ce que quelques minutes de plus.
Le coupable
Après une enquête plus approfondie, les attaques ont été ciblées sur le groupe de cyberattaque connu sous le nom de Revi. Ces types se sont fait un nom dans le monde des cyberattaques, notamment de grands noms comme JBS et Acer, pour n’en nommer que quelques-uns. Parce qu’il s’agissait d’une attaque de ransomware, ce groupe a exigé de l’argent de nombreuses sociétés associées et a envoyé une rançon équivalente à 70 millions de dollars en bitcoins à Kaseya pour acheter la clé principale qui chiffrerait les données de toutes les parties infectées.
Les conséquences
Même s’il ne s’agit pas d’un cas tragique en termes d’attaques de ransomware, il s’agit d’un signe révélateur que les cybercriminels se cachent, à la recherche d’opportunités. Même si cela peut finalement coûter des millions aux entreprises, ce n’est rien comparé au montant des dommages qui auraient pu survenir si les informations du client avaient ainsi été capturées.
L’entreprise est de nouveau opérationnelle et affirme que tout est réparé et que son système est sain et sauf. Même si cela semble bien, des attaques comme celles-ci laissent toujours les utilisateurs prudents et peuvent nuire aux affaires et à la confiance.
Comment prévenir les attaques de ransomwares ?
Avec toutes ces discussions sur les attaques de ransomwares, nombreux sont ceux qui cherchent des moyens de les prévenir. La prévention doit commencer bien avant une attaque, les entreprises adoptant des approches tant à l’intérieur qu’à l’extérieur de leurs infrastructures.
De plus, de nos jours, les entreprises doivent rechercher une gestion active des menaces qui permettra une réponse rapide et une gestion des vulnérabilités qui arrêteront les attaques bien avant qu’elles ne commencent. Rize Technologies a créé une approche axée sur les données pour repérer les risques et gérer les menaces, ce qui lui permet de garder une longueur d’avance sur les attaquants. Grâce à un audit continu, ils s’efforcent de trouver les failles dont les pirates pourraient profiter, en prenant soin d’elles avant qu’elles ne soient exposées à ceux qui pourraient faire des ravages.
Tirez une leçon de l’attaque du ransomware Kaseya VSA : protégez votre espace Web
La fréquence des cyberattaques augmente, et malheureusement leur intensité aussi. À mesure que nous avançons dans un monde numérique où tout se passe en ligne, les entreprises et les particuliers doivent être plus prudents dans leur approche de la sécurité en ligne. Les entreprises dont les violations exposent les informations personnelles identifiables de leurs clients pourraient faire face à d’importantes poursuites judiciaires, perdant de l’argent en raison d’une réputation entachée et d’un arrêt de leurs activités.
Peut-être que cet événement et bien d’autres sont là pour servir d’avertissement, montrant la prévalence et la gravité d’une faille de sécurité. Il nous avertit de prêter attention à notre espace d’attaque croissant et de prendre des mesures pour adopter une approche plus agressive pour sécuriser notre espace Web.