Le fournisseur de solutions d'administration des systèmes IT et de sécurité pour les PME tire les enseignements et les évolutions de l'année écoulée pour s'adapter à son marché.

Pour Fred Voccola, le CEO de Kaseya, les PME ont de plus en plus de mal à suivre le train des évolutions technologiques et des changements réglementaires. Pour répondre à ce besoin Kaseya propose une plateforme intégrée qui regroupe l'ensemble des logiciels nécessaires à la gestion de l'IT et de la sécurité de ces systèmes. Le CEO de Kaseya y voit une belle opportunité pour son entreprise alors que les PME entament seulement leur stratégie de transformation numérique souvent à l'aide de fournisseurs de services managés. Une intuition qui est en passe de se concrétiser puisque Kaseya va réaliser plus de 300 M$ de chiffre d'affaires avec une belle marge pour une base installée de 35000 clients dans le monde. L'entreprise indique gagner 1200 clients par trimestre.

Il est vrai que le contexte de 2020 était particulièrement favorable avec une augmentation de 68 % des cyberattaques. Fred Voccola prévoit que 90 % des PME vont augmenter leurs dépenses informatiques alors que 89 % s'attendent à plus de contraintes législatives et que seulement 73 % pensent voir un retour à la normale au cours du deuxième trimestre de cette année. 84 % pensent que les changements intervenus lors de 2020 vont perdurer et que les PME devront faire plus avec moins de revenus.

En conséquence, 798 partenaires de Kaseya, fournisseurs de services managés, ont ajouté des services autour du respect de la conformité à leur portefeuille. En ce sens, Fred Voccola est confiant pour sa plate-forme unifiée IT Complete qui unifie les workflows par une intégration fine entre les différents logiciels de la plateforme par le Kaseya Integration Hub. Des templates de plus de 78 workflows sont présents dans le hub. Par ailleurs, Fred Voccola prévoit d'étendre encore le périmètre de la plateforme possiblement par des acquisitions. Une entrée en bourse est toujours au programme.

C’est une cyberattaque particulièrement inquiétante qui pourrait affecter plusieurs milliers d’entreprises, jusqu’à un million clament certains experts. Utilisant comme point d’entrée la solution de monitoring VSA, fournie par l’Américain Kaseya, le ransomware REvil progresse par rebonds. Difficile pour l’heure d’estimer l’ampleur de cette campagne.

C’est une cyberattaque de grande ampleur qui se déroule depuis vendredi dernier. Un ransomware a frappé Kaseya, un éditeur de solutions ITSM, le week-end du 4 juillet. Une date qui ne doit sans doute rien au hasard : fête nationale oblige, de nombreux travailleurs aux États-Unis profitent de quelques jours de repos... Un moment idéal pour un attaquant. Toujours sur cette question de timing, le 2 juillet le Dutch Institute for Vulnerability Disclosure (DIVD) a notifié Kaseya de l’existence d’une faille critique dans les versions on-premise de VSA. C’est cette même faille qui a été exploitée pour compromettre l’outil de monitoring. 

DoublePulsar a livré une description détaillée de la méthode par laquelle le ransomware se répand aux clients de VSA, « via une fausse mise à jour logicielle automatisée à l'aide de Kaseya VSA. L'attaquant arrête immédiatement l'accès administrateur au VSA, puis ajoute une tâche appelée « Kaseya VSA Agent Hot-fix ». Cette fausse mise à jour est ensuite déployée dans tout le domaine, y compris sur les systèmes des clients clients MSP, car il s'agit d'une fausse mise à jour de l'agent de gestion. Cette mise à jour de l'agent de gestion est en fait le ransomware REvil ».

Supply chain attack

Car Kaseya n’est pas la seule victime. C’est même le point d’entrée de REvil vers de nombreuses organisations. VSA, un outil de gestion et de supervision des endpoints à distance, n’est pas commercialisé seulement à des équipes informatiques internes, mais aussi à des MSP (Managed Services Providers), ce qui implique que ne sont pas seulement affectés les clients de l'entreprise floridienne, mais aussi les clients de ses clients. D'où cette estimation de la part d'Huntress Lab, une société de cybersécurité qui mène de son côté sa propre enquête, d'un millier d'organisations victimes de cette attaque, quand Kaseya ne recense qu'une quarantaine de ses clients affectés. 

Certains, l’attaquant en tête, vont jusqu’à prétendre qu’un million de systèmes seraient infectés. Difficile pour l'heure de connaître avec exactitude l'ampleur de l'attaque ou le nombre de victimes. On sait que Coop Suède, l'une des principales chaînes de supermarchés suédoises, a été atteinte et a dû fermer 800 magasins. La presse néerlandaise évoque également au moins une entreprise affectée aux Pays-Bas. De son côté, le DIVD a précisé qu’en 48 heures, « le nombre d'instances Kaseya VSA accessibles depuis Internet est passé de plus de 2 200 à moins de 140 ». Moult instances ont donc été mises hors ligne, suivant les recommandations de Kaseya, mais combien d’entre elles sont infectées ? Et surtout REvil a-t-il comme à son habitude exfiltré les données des systèmes attaqués avant de les chiffrer ?

Déjà-vu

Dès qu’il a eu connaissance de cette attaque vendredi, l’éditeur de VSA a immédiatement arrêté ses serveurs SaaS par mesure de précaution et a notifié ses clients on-prem pour qu’ils mettent hors ligne leurs serveurs. Cette supply chain attack, si elle évoque des techniques d'APT, ne doit pas faire oublier que, dès 2017, les groupes de ransomwares avaient recours à ce genre de procédés. Ce fut le cas notamment de NotPetya, qui avait eu pour vecteur d'infection une mise à jour d'un logiciel ukrainien de comptabilité. On se rappelle également de Solarwinds, dont l’exploitation des vulnérabilités avaient permis l’espionnage de nombreuses organisations utilisatrices de sa solution Orion.

Ici, c'est un groupe affilié au ransomware REvil qui est mis en cause selon Huntress Lab, se fondant pour cette attribution sur le message de demande de rançon ainsi que sur la méthode d'attaques. The Record indique avoir repéré sur le Dark Web une publication du groupe derrière REvil revendiquant l’attaque et exigeant 70 millions de dollars en échange des clés de déchiffrement. 

Ce week-end, Kayesa insistait sur la nécessité pour tous les serveurs VSA sur site de continuer à rester hors ligne jusqu’à nouvel ordre. L’entreprise, qui explique avoir fait appel à FireEye, indique que son équipe R&D « a répliqué le vecteur d'attaque et travaille à son atténuation » et avoir « commencé le processus de correction du code ». L’entreprise doit fournir ce jour un calendrier détaillé d’un retour progressif à la normale, martelant que ses clients SaaS n’ont rien à craindre.

Qui blâmer ?

Le FBI et le CISA, équivalent américain de notre ANSSI, sont eux aussi dans la boucle, et l’attaque est remonté jusqu’aux oreilles de Joe Biden qui a déclaré que, si l’attaque devait avoir été commanditée par, ou être en lien avec les autorités russes, « nous répondrons ». Car REvil, également connu sous le nom de Sodinokibi, est supposément lié à la Russie, puisqu’il n’attaque pas les Etats de la CEI. Toutefois, REvil n’est que la souche, probablement héritier de GrandCrab, et est fourni en tant que Ransomware as a Service. Impossible donc, au stade actuel de l’enquête, de pointer du doigt un opérateur précis.

Outre l’attribution se posera inévitablement, comme pour Solarwinds, la question des responsabilités. Le DVID n’a pas manqué d’être pointé du doigt : l’attaque a été détectée le jour où l’institut néerlandais a communiqué les détails de cette faille à Kaseya. Le Dutch Institute for Vulnerability Disclosure assure pourtant que « oui, nous avons signalé ces vulnérabilités à Kaseya dans le cadre des directives de divulgation responsable (c'est-à-dire divulgation coordonnée des vulnérabilités) ». Et de souligner que l’entreprise sise en Floride a été « très coopérative », posant « les bonnes questions » et « prête à déployer le maximum d'efforts et d'initiatives dans cette affaire, à la fois pour résoudre ce problème et pour corriger ses clients ».

MàJ 05/07 - 12h03 : Selon Ross McKerchar, CISO de Sophos, « les éléments que nous avons recueillis montrent que plus de 70 fournisseurs MSP ont été impactés, entrainant des conséquences sur plus de 350 entreprises. Selon nos estimations, le nombre total d’entreprises touchées devrait être supérieur à ceux avancés par l’ensemble des spécialistes de la sécurité ». L'entreprise britannique précise que la majeure partie des clients impactés se trouvent aux États-Unis, en Allemagne et au Canada, et dans une moindre mesure en Australie, au Royaume-Uni ainsi que dans d’autres zones géographiques.

L’éditeur, victime d’une attaque par ransomware qui s’est répandu chez ses clients, a commencé à aider ses clients à déchiffrer leurs fichiers. Kaseya a en effet obtenu une « méthode universelle de déchiffrement » pour le ransomware REvil auprès d’un « tiers de confiance ». Ce qui laisse planer le doute sur le possible paiement par l’entreprise de la rançon exigée par les opérateurs de REvil.

L’éditeur, victime d’une attaque par ransomware qui s’est répandu chez ses clients, a commencé à aider ses clients à déchiffrer leurs fichiers. Kaseya a en effet obtenu une « méthode universelle de déchiffrement » pour le ransomware REvil auprès d’un « tiers de confiance ». Ce qui laisse planer le doute sur le possible paiement par l’entreprise de la rançon exigée par les opérateurs de REvil.

L’éditeur, victime comme bon nombre de ses clients d’un ransomware, a obtenu la semaine dernière une clé de déchiffrement. Immédiatement on a soupçonné que Kaseya avait cédé aux exigences de REvil, ce que l’entreprise nie en bloc.  

L’éditeur, victime comme bon nombre de ses clients d’un ransomware, a obtenu la semaine dernière une clé de déchiffrement. Immédiatement on a soupçonné que Kaseya avait cédé aux exigences de REvil, ce que l’entreprise nie en bloc.  

Un écran de la console de RocketCyber.

Le fournisseur d'outils de gestion des services IT et de stockage des données à destination des fournisseurs de services managés et des PME renforce sa pile de solutions en sécurité avec RocketCyber, une solution de détection et réponse sous forme de services managés.

Fondée en 2017, RocketCyber a développé une solution de SOC (Security Operations Center) dans le Cloud qui se déploie avec un seul agent sur les environnements à surveiller. Elle ne requiert aucun matériel ou équipement spécifique et peut s'intégrer dans n'importe quel existant. La solution va rejoindre la plateforme IT Complete de Kaseya et ses différents modules : VSA, BMS et Passly. La société va continuer à opérer indépendamment sous le chapeau de Kaseya et va continuer à proposer son SOC managé qui accueille en permanence des spécialistes de la sécurité des terminaux, du réseau et des vecteurs d'attaque du Cloud. Ces spécialistes sont chargés de trier les alertes afin de ne remonter que les plus graves ou importantes. Des technologies d'automatisation d'isolation et de réponse à incidents appliquent des solutions ou des recommandations face à une menace afin d'isoler et de traiter une infection et ce jusqu'à ce que le problème soit résolu totalement.

Pour rappel, Kaseya possède déjà 3 SOCs (à Austin au Texas, à Miami en Floride et à Dublin en Irlande). D'autres intégrations avec plusieurs autres modules de la plateforme de Kaseya sont en cours.

Entre le moment où le FBI a obtenu la clé de déchiffrement de REvil, et celui où il a fourni cette clé aux victimes, trois semaines se sont écoulées. Trois semaines lors desquelles les victimes ont dépensé des millions de dollars en récupération de données.

Entre le moment où le FBI a obtenu la clé de déchiffrement de REvil, et celui où il a fourni cette clé aux victimes, trois semaines se sont écoulées. Trois semaines lors desquelles les victimes ont dépensé des millions de dollars en récupération de données.