Vue d'ensemble

Cet article discutera des informations concernant l'attaque de ransomware de la chaîne d'approvisionnement Kaseya VSA, et les mesures que Cato a prises pour garantir que nos clients restent protégés.

À partir du 7 juillet 2021, tous les IOC connus relatifs à l'attaque de ransomware Kaseya VSA ont été implémentés dans la Plateforme de Renseignement sur les Menaces de Cato. Tout trafic correspondant à ce profil (ou similaire) sera activement bloqué par notre IPS.

Contexte

À partir du 3 juillet 2021, plusieurs organisations et fournisseurs de services gérés (MSP) ont été ciblés par le ransomware REvil (alias Sodinokibi). Cela a été réalisé lors d'une attaque de la chaîne d'approvisionnement ciblant le logiciel Kaseya VSA. Cette attaque a conduit Kaseya à inciter les clients à éteindre leurs serveurs VSA pour éviter qu'ils ne soient compromis.

REvil (souvent détecté par les systèmes de protection contre les menaces comme Ransom.Sodinokibi) est une famille de ransomwares utilisée dans des attaques ciblées. Les attaquants tenteront de chiffrer tous les ordinateurs du réseau de la victime, empêchant l'accès aux fichiers ou aux données à moins qu'une somme importante ne soit payée.

Impact

Une fois que l'ordinateur ciblé a été infecté par le ransomware Sodinokibi, l'accès administratif est désactivé et le code malveillant commencera à chiffrer les données. Ceci est l'étape initiale avant que le 'rançon' ne soit exigée.

Une fois le processus de chiffrement terminé, le fond d'écran du système est défini sur une image indiquant que "Tous vos fichiers sont chiffrés", avec un lien vers un fichier readme détaillant comment restaurer l'accès à la machine.  Chaque machine infectée est chiffrée avec une clé privée unique à cet hôte, qui est utilisée dans le processus de déchiffrement du ransomware. Cette tactique garantit que la récupération de données par des moyens traditionnels entraîne un élément de corruption de la clé privée et une perte de données permanente.

Dans le cas où une machine serait infectée par ce ransomware, les données ne seront pas accessibles (ou extractibles) depuis le dispositif à moins qu'une rançon n'ait été payée.

Que fait Cato ?

Les analystes de sécurité de Cato Networks travaillent sans relâche pour identifier, localiser et atténuer toute vulnérabilité potentielle ou exposition que nos clients pourraient avoir à cette menace. 

• Après une analyse médico-légale des profils de trafic des clients de Cato, nous avons identifié plusieurs clients qui utilisent actuellement les produits Kaseya. 
• Notre analyse préliminaire ne montre aucune preuve d'infection dans notre base de clients. Cela est basé sur les Indicateurs de Compromission (IOC) publiés dans la nature liés à l'attaque).
• Cato Networks a ajouté tous les IOC liés à cette attaque à notre Plateforme de Renseignement sur les Menaces. Cela garantira que tout trafic de ce type soit bloqué par notre IPS. 
• Il est recommandé que tout client utilisant les produits Kaseya suive le conseil continu de Kaseya.

Cette situation évolue actuellement dans le paysage informatique, et Cato Networks surveille et enquête activement pour assurer que nos clients restent protégés.