2 Remove Virus

Kaseya patches VSA vulnerabilities used in recent REvil ransomware attack

Le fournisseur de logiciels Kaseya a publié une mise à jour de sécurité qui corrige la vulnérabilité vsa (Virtual System Administrator) zero-day utilisée dans la récente attaque de ransomware REvil. Le correctif intervient plus d’une semaine après que plus de 60 fournisseurs de services gérés (MSP) et 1500 de leurs clients ont été touchés par une attaque de ransomware, dont la source a rapidement été identifiée comme étant le VSA de Kaseya.

Les attaquants, maintenant connus pour être le célèbre gang REvil, ont utilisé une vulnérabilité dans le logiciel de surveillance et de gestion à distance VSA de Kaseya pour distribuer une charge utile malveillante via des hôtes gérés par le logiciel. Le résultat final a été 60 MSP et plus de 1500 entreprises touchées par des attaques de ransomware.

Les vulnérabilités dans VSA de Kaseya ont été découverts en Avril par des chercheurs à la Dutch Institute for Vulnerability Disclosure (DIVD). Selon DIVD, ils ont divulgué les vulnérabilités à Kaseya peu de temps après, permettant à la société de logiciels de publier des correctifs pour résoudre un certain nombre d’entre eux avant qu’ils ne puissent être mal utilisés. Malheureusement, alors que DIVD loue Kaseya pour leur réponse ponctuelle et opportune à la divulgation, les parties malveillantes ont pu utiliser les vulnérabilités non corrigées dans leur attaque ransomware.

Les vulnérabilités divulguées à Kaseya par DIVD en Avril sont les suivantes:

Le fait de ne pas corriger 3 des vulnérabilités à temps a permis à REvil de les utiliser pour une attaque à grande échelle qui a eu un impact sur 60 fournisseurs de services gérés utilisant VSA et leurs 1500 clients professionnels. Dès que Kaseya a remarqué ce qui se passait, il a averti les clients VSA sur site d’arrêter immédiatement leurs serveurs jusqu’à ce qu’il publie un correctif. Malheureusement, de nombreuses entreprises ont encore été victimes d’une attaque de ransomware dont les auteurs ont exigé jusqu’à 5 millions de dollars en rançon. Le gang REvil a plus tard offert un décrypteur universel pour $70 millions, la plus grande demande de rançon jamais.

La mise à jour VSA 9.5.7a (9.5.7.2994) corrige les vulnérabilités utilisées lors de l’attaque du rançongiciel REvil

Le 11 juillet, Kaseya a publié le VSA 9.5.7a (9.5.7.2994) patch pour corriger les vulnérabilités restantes qui ont été utilisées dans l’attaque ransomware.

La mise à jour VSA 9.5.7a (9.5.7.2994) corrige les éléments suivants :

Cependant, Kaseya avertit que pour éviter d’autres problèmes, le On Premises VSA Startup Readiness Guide « » doit être suivi.

Avant que les administrateurs ne procèdent à la restauration d’une connectivité complète entre les serveurs Kaseya VSA et les agents déployés, ils doivent effectuer les opérations suivantes :

Le gang REvil semble être devenu sombre

Le gang ransomware REvil ont été assez rapidement identifiés comme les auteurs derrière l’attaque. Après avoir initialement offert un décrypteur universel pour $70 millions, ils ont abaissé le prix à $50 millions. Il semble maintenant que l’infrastructure et les sites Web de REvil aient été mis hors ligne, bien que les raisons ne soient pas tout à fait claires. L’infrastructure de REvil est composée de sites Web clairs et sombres qui sont utilisés à des fins telles que la fuite de données et la négociation de la rançon. Cependant, les sites ne sont plus accessibles.

Il n’est pas encore clair si REvil a décidé de fermer son infrastructure pour des raisons techniques ou en raison de la surveillance accrue par les forces de l’ordre et le gouvernement américain. REvil est connu pour opérer à partir de la Russie, et le président américain Biden a été en pourparlers avec le président russe Poutine au sujet des attaques, avertissant que si la Russie ne prend pas de mesures, les États-Unis le feront. On ne sait pas encore si cela a quelque chose à voir avec l’arrêt apparent de REvil.