Scénario catastrophe pour Kaysera, un fournisseur de services dans le nuage (SaaS : gestion, sécurisation et sauvegardes) qui s’adresse aux petites et moyennes entreprises, principalement dans les pays anglophones : ses logiciels sont devenus des vecteurs de transmission d’un rançongiciel, nom de conde REvil/Sodin.
Comme ce service est généralement proposé aux PME par une trentaine d’entreprises de conseil en informatique / d’inforgérance, on estime actuellement qu’au moins 1 000 organisations ont été touchées par le rançongiciel dans le monde.
D’après le spécialiste de la cybersécurité Huntress, l’un des premiers à détecter le problème, des pirates ont effectué une attaque par injection SQL sur les serveurs de Kaysera et obtenu un accès, ce qui leur a permis de distribuer leur rançongiciel, qui chiffre les disques durs, se faisant passer pour « Kaysera VSA Agent Hot-fix. »
Kaysera recommande de désactiver VSA, son logiciel de gestion et de surveillance à distance, afin d’éviter la propagation du logiciel malveillant. Depuis, l’entreprise annonce préparer une restauration des données avec pour objectif de remettre ses centres de données en ligne le 5 juillet en fin de journée.
Des écoles en Nouvelle-Zélande sont victimes du rançongiciel, tout comme la chaîne suédoise de supermarchés Coop, qui a prévenu ses clients que la plupart de ses magasins étaient fermés, et que les autres n’acceptaient que les paiements Scan & Pay.
Ce matin, les pirates ont annoncé leur revendication : 70 millions de dollars en Bitcoin pour déchiffrer les disques durs, de d’après eux, un million de systèmes corrompus.
Huntress a identifié sans doute la source de l’infection : une adresse IP appartenant à AWS. Il travaille avec AWS et les forces de l’ordre pour tenter de découvrir qui se cache derrière cette adresse.
Peu de temps après la divulgation de l’incident, le Dutch Institute for Vulnerability Disclosure a révélé la découverte de plusieurs graves vulnérabilités dans VSA, et que Kaysera avait pris leur rapport sérieusement et travaillait sur des correctifs.
Malheureusement, Kaysera a été pris de court par REvil.
Le président des États-Unis Joe Biden a ordonné une enquête. REvil est un groupe basé en Russie, avec le support tacite du gouvernement russe. C’est donc la principale hypothèse.
On peut déjà tirer plusieurs conclusions partielles de cette affaire :
– Ne pas donner de crédit à n’importe quelle récompense – Kaysera a reçu le Cybersecurity excellence awards 2021 ;
– Même si Kaysera fait preuve de bonne volonté, la protection contre les injections en SQL fait partie du b.a.-ba de la sécurité ;
– Leur système de sauvegarde automatique va pouvoir, ou non, prouver son efficacité.