Cyberattaque Kaseya VSA

Télécharger au format pdf ou txt
Télécharger au format pdf ou txt
Vous êtes sur la page 1sur 8

Cyberattaque Kaseya VSA

Table des matières


Cyberattaque Kaseya VSA .................................................................................................. 1
1) Introduction ........................................................................................................................ 2
2) Contexte de l’attaque.......................................................................................................... 2
3) Détails techniques de l’attaque ........................................................................................... 3
A) Point d’entrée ...................................................................................................................................... 3
B) Diffusion ............................................................................................................................................... 3
C) Infection ............................................................................................................................................... 4
4) Réaction de l’entreprise ...................................................................................................... 6
5) Conclusion .......................................................................................................................... 7
Références .................................................................................................................................. 8
1) Introduction

Le groupe Kaseya propose des solutions logicielles permettant de facilité la gestion d’une
entreprise. Une de leurs solutions, VSA, est présenté comme un des meilleurs logiciels de
gestion RMM (Remote monitoring and management) au monde. Par définition, une
application RMM est utilisé pour faire deux choses :

• Recueillir des informations à partir de points de terminaison et de réseaux distants


pour évaluer leur état de santé
• Effectuer diverses tâches de gestion informatique à distance sur eux sans
interruption

Logiciel VSA

Les attaquants vont détourner ce logiciel, utilisé par de nombreuses entreprises, afin de
lancer une attaque de grande ampleur.

2) Contexte de l’attaque

Le 2 juillet 2021, des chercheurs de Huntress Labs ont découvert une nouvelle vague de
ransomware sur plusieurs centaines d’entreprises. Les rançongiciels (ransomwares en
anglais) sont des logiciels malveillants qui bloquent l'accès à l'ordinateur ou à des fichiers en
les chiffrant et qui réclament à la victime le paiement d'une rançon pour en obtenir de
nouveau l'accès. Les auteurs sont le groupe de hacker russe REvil, un des plus actif au
monde. L’organisation demande une rançon record de 70 millions de dollars à travers un
« blog » assez amusant en échange bien sûr d’une clé de décryptage, qui permettrait la
récupération des données en moins d’une heure. Il s’agit de la rançon la plus élevé de
l’histoire en termes d’attaque logicielle.
Blog mis en ligne par les attaquants

En tout, on compte environ 1500 entreprises touchées à travers l’outils VSA, le groupe REvil
déclare qu’un million de système ont été infecté. La date n’est pas anodine, peu de gens
sont dans les bureaux en été, ce qui est un point non négligeable pour les attaquants.

3) Détails techniques de l’attaque

A) Point d’entrée

Les serveurs de VSA étaient vulnérables à une attaque par injection SQL. Un identifiant CVE
(Common Vulnerabilities and Exposures) a été attribué à la vulnérabilité : « CVE-2021–
30116 ».
L'injection SQL directe est une technique où un pirate modifie une requête SQL existante
pour afficher des données cachées, ou pour écraser des valeurs importantes, ou encore
exécuter des commandes dangereuses pour la base. Elle fait partie du top 10 2021 de
OWASP et se trouve en troisième position juste après les défaillances cryptographiques.

Il se trouve que l’entreprise Kaseya avait déjà été alerté au sujet de cette faille. Il travaillait
sur un correctif. Malheureusement le groupe REvil les a pris de vitesse. Ce dernier semblait
être au courant qu’une mise à jour allait sortir, ce qui explique la rapidité d’exécution de
l’attaque.

B) Diffusion

Une fois introduit, les pirates vont créer une fausse mise à jour du logiciel, un correctif
contenant les outils utiles à l’infection (la charge utile), destiné aux clients de Kaseya. C’est
un procédé en cascade destructeur. Cette mise à jour crée un dossier sous lecteur principal
d’une machine (C :) nommé « kworking » contenant deux fichiers :

• agent.txt
• agent.crt
Il n’y a pour l’instant rien d’anormal. Une fois l’installation terminée, plusieurs actions
importantes sont exécutées à travers cette commande plutôt complexe :

Script PowerShell

Ce script PowerShell prépare la machine à l’infection. Il est bien sûr exécuté avec des
privilèges élevés (administrateur) puisque c’est normalement une mise à jour de Kaseya
pour son logiciel. Les instructions sont les suivantes :

• Arrêt de Windows Defender. La protection du réseau et des dossiers, l’analyse en


temps réel, les systèmes de prévention d’intrusion sont désactivés.
• Déchiffrement du certificat (cert.exe) à l’aide de « certutil », un outil intégré à
Windows.
• Suppression des artefacts (Toute sorte d'information créée, produite, modifiée ou
utilisée)

Une fois le script exécuté, le fichier « MsMpEng.exe » est remplacé par une version
malveillante. Il permet de charger la bibliothèque DLL de l’outil de chiffrement et son
exécution en tant que service Windows. La machine est prête à être chiffrée.

C) Infection

Lorsque l’exécutable « MsMpEng.exe » est lancé, le programme énumère les lecteurs


réseau, les lecteurs physiques et les processus, puis lance le processus de chiffrement sur le
serveur. Le ransomware et sa propagation sont ceux utilisés habituellement par REvil, à
savoir Sodinokibi. La récupération par analyse de disque est impossible.
En plus du chiffrement, plusieurs services et processus sont arrêtés sur la machine. Pour
éviter toute faille dans l’attaque.

Processus arrêtés

Plusieurs types de fichiers ou extensions ne sont pas chiffrés par le ransomware (fichiers
inutiles ou non échangeables)

Extensions :

Extensions sur liste blanche

Fichiers :

Fichiers sur liste blanche


Dossiers :

Dossiers sur liste blanche

Une fois les fichiers du serveur chiffrés, l’apparence est totalement modifiée. Un message
ainsi qu’une demande de rançon apparaissent, les fichiers sont maintenant dérobés.

Serveur infecté

4) Réaction de l’entreprise

A l’heure actuelle, il est difficile de savoir Kaseya a payé la rançon. Le prix de la clef de
déchiffrement aurait chuté à 50 millions de dollars après quelques heures et les attaquants
ont proposé plusieurs méthodes de paiement. Cependant, le 22 juillet dernier, soit 20 jours
après le début des hostilités, l’entreprise annonce la mise à disposition d’une clef de
décryptage pour l’ensemble des victimes (entreprises touchées). Cette clef serait d’après eux
le résultat d’une collaboration avec l’entreprise néo-zélandaise Emsisoft, une société de
logiciel anti-virus reconnu pour leur capacité à décrypter les attaques de ransomware.
5) Conclusion

VSA de l’entreprise Kaseya avait la troisième vulnérabilité du top 10 OWASP 2021. Elle
travaillait sur un correctif mais a été pris de vitesse par les pirates. L’attaque est en cascade,
de nombreuses entreprises utilise le logiciel VSA pour la gestion, ce qui en fait une attaque
dévastatrice.
En se basant sur leur communiqué, je pense que l’entreprise a bien réagis en ne payant pas
la rançon, qui était un record historique. Cela peut sûrement en décourager beaucoup, en
montrant que les géants comme Kaseya, peuvent s’en sortir eux-mêmes.
Références

o https://owasp.org/Top10/fr/A03_2021-Injection/
o https://www.stormshield.com/fr/actus/alerte-securite-kaseya-une-nouvelle-attaque-
de-supply-chain-massive/
o https://blog.varonis.fr/attaque-de-revil-contre-kaseya-vsa-tout-ce-quil-faut-savoir/
o https://www.usine-digitale.fr/article/cyberattaque-vsa-kaseya-confirme-avoir-
obtenu-une-cle-de-decryptage-sans-payer-de-rancon.N1128249
o https://www.zdnet.fr/actualites/kaseya-les-fournisseurs-de-service-geres-vises-par-
un-groupe-de-ransomware-39925741.htm
o https://www.globalsign.com/en/blog/kaseya-attack-2021-are-ransomware-attacks-
inevitable
o https://www.kaseya.com/fr/societe/
o https://www.kaseya.com/products/vsa/

Vous aimerez peut-être aussi