L'attaque de ransomware REvil Supply Chain frappe 200 entreprises américaines
Le groupe de cybercriminels connu sous le nom de REvil et tristement célèbre pour ses activités de ransomware a exécuté une autre attaque réussie à une échelle inquiétante à la fin de la semaine dernière.
Les chercheurs en sécurité de Huntress Labs ont déclaré qu'ils pensaient que l'attaque qui a touché au moins deux cents entreprises américaines est l'œuvre du cybergang REvil. Cette fois, les pirates n'ont pas travaillé pour infiltrer le réseau de chaque entreprise individuellement.
Au lieu de cela, ils ont réussi ce qu'on appelle communément une "attaque de la chaîne d'approvisionnement". REvil a abusé d'un fournisseur de logiciels légitime appelé Kaseya. Kaseya fournit des produits et services de gestion de réseau et d'infrastructure informatique à un grand nombre de clients, allant des entreprises moyennes aux grandes entreprises.
Bien sûr, Kaseya a publié une déclaration officielle et un avertissement pour les propriétaires de serveurs de fermer tous les serveurs exécutant le progiciel que REvil a utilisé comme intermédiaire pour exécuter l'attaque. La société a également fermé sa propre plate-forme de logiciel en tant que service en réponse à l'activité de REvil.
Alors que Kaseya avait initialement l'intention de remettre son SaaS en ligne tôt le matin du 7 juillet, The Register a rapporté aujourd'hui que le processus avait été retardé d'"au moins dix heures".
Le gang de rançongiciels REvil a demandé un incroyable paiement de rançon de 70 millions de dollars. La demande peut sembler ridicule, étant donné que JBS, le plus grand fournisseur de viande des États-Unis, a été touché par REvil il y a environ un mois et que lors de cette attaque, la demande de rançon était de 11 millions de dollars. Le problème ici est qu'en utilisant une attaque de la chaîne d'approvisionnement dans ce nouvel incident, REvil a touché des centaines d'entreprises, non seulement aux États-Unis mais dans le monde entier.
Non seulement les réseaux commerciaux internes, mais aussi les écoles et les supermarchés ont été laissés en suspens. Reuters a rapporté qu'en garantie de la même attaque, la chaîne de supermarchés suédoise Coop a été forcée de fermer les portes de 800 de ses magasins, car les caisses enregistreuses connectées à Internet ne fonctionnaient tout simplement pas.
Yahoo News a cité l'expert en sécurité Brett Callow qui a affirmé que bien qu'il y ait eu des attaques de ransomware utilisant des méthodes d'attaque de la chaîne d'approvisionnement similaires, elles ont toutes été "assez mineures" par rapport à l'ampleur du dernier travail REvil.
Le moment de l'attaque semble également avoir été prémédité, car il coïncidait avec les vacances du week-end du 4 juillet aux États-Unis, rendant une réponse rapide à la menace plus difficile que d'habitude.
