« Les modèles d’attaque utilisés dans la compromission de la solution Kaseya VSA rappellent la campagne Cloud Hopper. Cette dernière était une attaque de phishing qui, à partir d’un seul point d’accès, a impacté des centaines d’entreprises qui entretenaient des relations avec des fournisseurs de cloud compromis. Pour une des victimes, le cycle d’attaque s’est poursuivi pendant au moins cinq ans.

Si cette attaque contre Kaseya ressemble à des campagnes malveillantes précédentes, nous devons nous rappeler que, pour les attaquants, il s’agit de capitaliser sur la décentralisation du réseau ainsi que la connexion à distance. Pourquoi ? Parce que cela influence l’échelle et l’impact. Plus important encore, dans l’incident contre Kaseya, les cybercriminels se concentrent sur la compromission de logiciels, de processus et de relations de confiance. En effet, cibler des services de confiance permet aux hackers de tirer parti de leur réputation, et des autorisations et accès accordés. Dans les premières communications de Kaseya, la société met en garde contre le caractère critique de la fermeture des serveurs sur lesquels VSA s’exécute, "car l’une des premières choses que fait l’attaquant est de fermer l’accès administratif à VSA".

La surveillance et la protection de cet accès administrateur, ou à privilèges, sont essentielles pour identifier et atténuer le risque de mouvement latéral et de compromission supplémentaire du réseau. Dans le cas d’un fournisseur d’infogérance (MSP), le contrôle des droits d’administrateur signifie que les attaquants peuvent rapidement gagner une ampleur incroyable, probablement parmi des centaines de clients du MSP.

Les identifiants à privilèges continuent donc d’être "l’arme de choix" des attaquants dans presque toutes les attaques ciblées majeures. »