Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Cyberattaque Kaseya : McAfee livre des informations sur le ransomware REvil

juillet 2021 par McAfee

Vendredi 2 juillet, de nombreuses entreprises ont été victimes d’un ransomware via une attaque contre Kaseya. Cette entité informatique fournissant des outils à des entreprises spécialisées dans l’externalisation de services informatiques a été touchée par une vulnérabilité au cœur de leur système. Près de 1 500 entreprises sont actuellement dans le viseur de cette attaque au ransomware. Nommé REvil, a été propagé auprès des MSP mais aussi à leurs clients, causant notamment la fermeture de nombreux magasins en Suède.

C’est dans ce contexte que John Fokker, ingénieur principal et responsable des cyber-enquêtes pour McAfee Advanced Threat Research a souhaité s’exprimer :

« Ce n’est pas la première fois que Kaseya est impacté par un ransomware. L’entreprise a été touchée en 2019 par GandCrab, une opération Ransomware-as-a-Service ou RaaS aujourd’hui disparue. Il semble que CandCrab (également connu sous le nom de Sodinokibi) se soit transformé en REvil vers la mi-2019. Les attaquants ont ciblé un outil Kaseya de surveillance et de gestion à distance, touchant au moins 1 500 systèmes détenus contre une rançon de 2,6 millions de dollars. De nombreux affiliés de GandCrab RaaS sont ensuite passés à REvil.

Les MSP et leurs logiciels sont dans le viseur de REvil/GandCrab depuis le début. Compte tenu du budget opérationnel et des compétences de REvil, ce n’était qu’une question de temps avant qu’une telle chose ne se produise. Reste à savoir quelle filiale est responsable de l’attaque actuelle. Cependant, il n’est pas rare que le groupe REvil ou l’un de ses affiliés soit démasqué, signifiant ainsi que le groupe central d’opérateurs pourrait être à l’origine de cette attaque particulière ou du moins en avoir pris le contrôle à un certain moment.

Dans le cas de l’opération RaaS REvil, nous avons observé que le groupe d’administrateurs attaquait aussi activement les victimes, contrairement à d’autres RaaS où les administrateurs ne font que fournir le cadre. Par la suite, le groupe d’administrateurs de REvil s’est également mêlé aux négociations, notamment lorsqu’un affilié a réussi à attaquer une cible importante.

Selon le rapport sur les menaces de juin de McAfee, REvil était le ransomware le plus détecté au premier trimestre, suivi des souches RansomeXX, Ryuk, NetWalker, Thanos, MountLocker, WastedLocker, Conti, Maze et Babuk."


Voir les articles précédents

    

Voir les articles suivants