Le gang REvil a réussi à exploiter une faille du logiciel Kaseya VSA pour diffuser son rançongiciel sur des centaines de milliers de systèmes. À l’arrivée : une catastrophe d’une ampleur inédite.

Les cyberattaques sont toujours déclenchées aux moments les plus désagréables. Alors que bon nombre d’Américains se préparaient à partir en week-end pour célébrer la fête nationale du 4 juillet, le gang REvil a décidé de passer à l’action.

L’affaire Kaseya, c’est une des plus grandes attaques rançongiciel de tous les temps, la plus grande depuis 2017. Les hackers ont profité d’un fonctionnement en cascade inédit : d’une victime, ils en ont fait des milliers. D’abord discuté sur un forum Reddit, l’incident a été mis en lumière par The Record Media.

Désormais, l’entreprise Kaseya travaille à corriger la faille employée par les hackers. Mais la résolution de la vulnérabilité ne changera rien à la situation des milliers d’entreprises touchées par le rançongiciel. Elles n’ont d’autre choix que de décider, chacune, des mesures à adopter. « En raison de l’échelle potentielle de l’incident, le FBI et le CISA pourraient ne pas être en capacité de répondre à chaque victime individuellement », ont concédé les autorités américaines.

Les opérateurs de REvil ont orchestré une cyberattaque rançongiciel inédite. // Source : Louise Audry pour Numerama
Que s’est-il passé ?

«  Nous recommandons que vous éteigniez IMMÉDIATEMENT tous vos serveurs VSA jusqu’à ce que nous vous indiquions le contraire ». Le 2 juillet, Kaseya a envoyé ce message en urgence à tous ses clients — plus de 36 000, d’après elle — comme le rapporte The Record Media.

Le logiciel VSA en question, édité par Kaseya, permet de gérer des flottes de machines informatiques à distance. Pour cette raison, il dispose d’un haut niveau de privilège sur les réseaux qu’il surveille, c’est-à-dire qu’il a un grand pouvoir de modification sur tous les ordinateurs.

Cette propriété fait du logiciel une porte d’entrée idéale sur des milliers de machines. Justement, les opérateurs du gang REvil ont réussi à s’introduire à distance sur les serveurs VSA grâce à l’exploitation d’une faille « 0-day » [qui n’a pas de correctif, ndlr]. Puis ils se sont servis des accès pour infecter des centaines de milliers de machines avec leur rançongiciel.

Lorsqu’un rançongiciel se déploie sur un système, il chiffre tous les fichiers, et les rend inutilisables. Les messageries professionnelles cessent de fonctionner, les documents ne sont plus lisibles et certaines machines deviennent hors service. Pour rétablir leur service au plus vite, les victimes ont deux options : soit ils paient la rançon demandée par les malfaiteurs dans l’espoir de récupérer un outil pour déchiffrer leurs systèmes, soit ils les restaurent à partir de sauvegardes. Les autorités conseillent à l’unanimité la seconde, mais bon nombre de victimes se laissent tenter par le paiement de la rançon.

Comment les hackers ont-ils opéré ?

Pendant les premières heures de l’attaque, plusieurs chercheurs se sont demandé s’il s’agissait d’une « supply chain attack », dans la lignée de cette subie par SolarWinds l’an dernier. Dans ce genre d’attaque, les hackers s’introduisent profondément dans l’infrastructure de la victime afin de corrompre son logiciel directement sur les serveurs de production. Si la victime ne se rend pas compte du subterfuge, elle tamponnera et diffusera elle-même une version infectée de son logiciel à ses clients. Cette théorie s’appuyait également sur le fait que Kaseya avait passé hors ligne sa propre infrastructure, semble-t-il, pour arrêter la diffusion de mises à jour infectées.

Avec 3 jours de recul, plusieurs spécialistes comme Costin Raiu de Kaspersky ou Condition Black s’accordent pour écarter la théorie de la supply chain attack. Entre-temps, la DIVD, une organisation néerlandaise spécialisée dans la découverte de vulnérabilité, a affirmé qu’elle travaillait avec Kaseya depuis plusieurs semaines sur la résolution d’une faille « 0-day », celle employée par REvil. L’éditeur développait son correctif au moment même de l’attaque. Pire, ils étaient à la dernière étape de validation avant son déploiement. Ils doivent désormais terminer le patch dans un contexte de crise.

Pour l’instant, les rapports techniques sur la faille n’ont pas encore été publiés. Mais d’après l’entreprise Huntress Labs, elle permettrait de passer outre les étapes d’authentification de l’interface web de Kaseya VSA, puis de lancer des commandes afin de déployer le rançongiciel. Le malware est alors caché sous l’apparence d’un « hotfix », c’est-à-dire d’un petit correctif du VSA, qui passe outre les protections antivirus. C’est aussi ce déguisement qui alimentait la théorie d’une supply chain attack.

Qui est victime de l’attaque ?

Kaseya est à la fois la première victime de l’attaque et la porte d’entrée vers les autres, puisque son logiciel VSA a servi d’arme aux cybercriminels. Parmi les plus de 36 000 clients revendiqués par l’entreprise se trouvent quelques grands groupes, mais surtout des « fournisseurs de services managés » (un terme traduit de l’anglais « managed services provider » ou MSP). Ces sociétés font de « l’infogérance », c’est-à-dire qu’elles s’occupent du parc informatique d’autres entreprises qui ne disposent pas des compétences nécessaires en interne.

Les cybercriminels se sont donc servis de la faille du logiciel de Kaseya pour toucher les MSP et les MSP offrent, eux-mêmes, un passage vers des milliers d’entreprises de petite taille… qui ne connaissent probablement même pas l’existence de Kaseya. Rien que le premier jour, l’entreprise Huntress Labs comptait 8 MSP parmi les victimes, pour un total de 200 entreprises touchées par le rançongiciel. Elle a depuis ajusté son bilan à 20 MSP et plus de 1 000 entreprises touchées. Ces premiers chiffres ne sont que des estimations partielles.

« Plus d’un million » de systèmes touchés

De leur côté, les cybercriminels revendiquent « plus d’un million » de systèmes touchés. Kaseya insiste quant à lui sur le fait que « seul un petit pourcentage » de ses clients a été touché, un nombre pour le moment estimé à « moins de 40 ». Elle a beau nuancer l’ampleur de l’incident, il faut garder à l’esprit que derrière chaque client de l’entreprise se cache des centaines de victimes. D’après la DVID, 140 serveurs VSA sont encore exposés à internet (et donc à l’attaque), sur les 2 200 qu’elle avait détectés avant le 2 juillet. Les mesures d’urgence déployées par Kaseya ont au moins un peu limité l’ampleur des dégâts.

Dans ce gigantesque lot de victimes, la chaîne de supermarché suédoise Coop est une des premières à avoir rompu le silence. Le 3 juillet, elle a dû fermer la quasi-intégralité de ses 800 magasins, car les caisses enregistreuses étaient hors service à cause du rançongiciel. Coop n’est donc qu’un exemple parmi des milliers.

Qui a lancé l’attaque ?

À l’origine de l’attaque se trouve le gang REvil, aussi connu sous le nom Sodinokibi. Ce groupe fait régulièrement parler de lui et s’est imposé comme une des figures du milieu cybercriminel. Avant de créer REvil, ses opérateurs avaient fondé un premier groupe déjà couronné de succès, Gandcrab. Pourquoi ce détail ? Car Gandcrab avait réussi à exploiter coup sur coup deux vulnérabilités de Kaseya pour déployer son rançongiciel, respectivement en février et juin 2019. C’est donc la troisième fois que les deux organisations se rencontrent, mais cette fois l’ampleur de l’attaque est d’un tout autre ordre.

Le mois dernier, REvil avait déjà frappé un grand coup avec la paralysie du géant de l’agroalimentaire JBS. Dans la lignée de l’affaire Colonial Pipeline, cette histoire était remontée jusqu’à la Maison-Blanche, bien décidée à tenir une position bien plus agressive vis-à-vis des gangs de cybercriminels.

Si Darkside a été démantelé quelques jours après son coup contre Colonial Pipeline, REvil n’a pas suivi son destin funeste malgré les menaces publiques proférées par les autorités américaines. Mieux, il se permet de lancer une cyberattaque d’une ampleur encore plus importante.

Et maintenant ?

Habituellement, un gang infecte une entreprise, puis négocie un paiement de rançon avec elle. Sauf que cette fois, REvil a touché des milliers de réseaux avec son attaque, une situation inédite. Pour y faire face, le groupe propose — depuis son blog — à ses victimes différentes méthodes de paiement :

  • Un paiement unique pour débloquer tous les systèmes. Annoncé à 70 millions de dollars par les cybercriminels le 4 juillet — ce qui en ferait la plus grosse rançon de l’histoire — le prix a chuté à 50 millions de dollars après quelques heures. La proposition semble plutôt s’adresser à Kaseya, mais n’importe qui peut décider de payer. Le gang s’engage à rendre public l’outil de décryptage et prétend que « tout le monde pourra récupérer de l’attaque en moins d’une heure ».
  • Un paiement par MSP, à hauteur de 5 millions de dollars. Chaque fournisseur victime de l’attaque pourrait décider de faire un paiement séparé dans l’espoir de rétablir au plus vite son activité. Il récupérerait un décrypteur spécifique pour les extensions qui touchent les machines qu’il a à charge.
  • Un paiement par victime à 44 999 dollars. Cette dernière proposition est sujette à débat : certains pensent qu’elle ne couvre le recouvrement que d’une seule machine, d’autres, qu’elle permet de rétablir unpetit réseau entier.

Ces propositions de REvil soulèvent plusieurs questions sur les capacités de gestion des opérateurs de REvil, qui sont en effectif limité. Peuvent-ils gérer des centaines de négociations en simultané ? Peuvent-ils garantir que le paiement unique donnera un accès à un outil de déchiffrement valide pour toutes les extensions ?

Dans les jours à venir, les différentes enquêtes pourraient répondre à ces questions, ainsi qu’à une autre, encore plus importante : comment REvil s’est-il procuré la faille ?

Par François Manens -cyberguerre