Cyberattaque Kaseya VSA
Cyberattaque Kaseya VSA
Cyberattaque Kaseya VSA
Le groupe Kaseya propose des solutions logicielles permettant de facilité la gestion d’une
entreprise. Une de leurs solutions, VSA, est présenté comme un des meilleurs logiciels de
gestion RMM (Remote monitoring and management) au monde. Par définition, une
application RMM est utilisé pour faire deux choses :
Logiciel VSA
Les attaquants vont détourner ce logiciel, utilisé par de nombreuses entreprises, afin de
lancer une attaque de grande ampleur.
2) Contexte de l’attaque
Le 2 juillet 2021, des chercheurs de Huntress Labs ont découvert une nouvelle vague de
ransomware sur plusieurs centaines d’entreprises. Les rançongiciels (ransomwares en
anglais) sont des logiciels malveillants qui bloquent l'accès à l'ordinateur ou à des fichiers en
les chiffrant et qui réclament à la victime le paiement d'une rançon pour en obtenir de
nouveau l'accès. Les auteurs sont le groupe de hacker russe REvil, un des plus actif au
monde. L’organisation demande une rançon record de 70 millions de dollars à travers un
« blog » assez amusant en échange bien sûr d’une clé de décryptage, qui permettrait la
récupération des données en moins d’une heure. Il s’agit de la rançon la plus élevé de
l’histoire en termes d’attaque logicielle.
Blog mis en ligne par les attaquants
En tout, on compte environ 1500 entreprises touchées à travers l’outils VSA, le groupe REvil
déclare qu’un million de système ont été infecté. La date n’est pas anodine, peu de gens
sont dans les bureaux en été, ce qui est un point non négligeable pour les attaquants.
A) Point d’entrée
Les serveurs de VSA étaient vulnérables à une attaque par injection SQL. Un identifiant CVE
(Common Vulnerabilities and Exposures) a été attribué à la vulnérabilité : « CVE-2021–
30116 ».
L'injection SQL directe est une technique où un pirate modifie une requête SQL existante
pour afficher des données cachées, ou pour écraser des valeurs importantes, ou encore
exécuter des commandes dangereuses pour la base. Elle fait partie du top 10 2021 de
OWASP et se trouve en troisième position juste après les défaillances cryptographiques.
Il se trouve que l’entreprise Kaseya avait déjà été alerté au sujet de cette faille. Il travaillait
sur un correctif. Malheureusement le groupe REvil les a pris de vitesse. Ce dernier semblait
être au courant qu’une mise à jour allait sortir, ce qui explique la rapidité d’exécution de
l’attaque.
B) Diffusion
Une fois introduit, les pirates vont créer une fausse mise à jour du logiciel, un correctif
contenant les outils utiles à l’infection (la charge utile), destiné aux clients de Kaseya. C’est
un procédé en cascade destructeur. Cette mise à jour crée un dossier sous lecteur principal
d’une machine (C :) nommé « kworking » contenant deux fichiers :
• agent.txt
• agent.crt
Il n’y a pour l’instant rien d’anormal. Une fois l’installation terminée, plusieurs actions
importantes sont exécutées à travers cette commande plutôt complexe :
Script PowerShell
Ce script PowerShell prépare la machine à l’infection. Il est bien sûr exécuté avec des
privilèges élevés (administrateur) puisque c’est normalement une mise à jour de Kaseya
pour son logiciel. Les instructions sont les suivantes :
Une fois le script exécuté, le fichier « MsMpEng.exe » est remplacé par une version
malveillante. Il permet de charger la bibliothèque DLL de l’outil de chiffrement et son
exécution en tant que service Windows. La machine est prête à être chiffrée.
C) Infection
Processus arrêtés
Plusieurs types de fichiers ou extensions ne sont pas chiffrés par le ransomware (fichiers
inutiles ou non échangeables)
Extensions :
Fichiers :
Une fois les fichiers du serveur chiffrés, l’apparence est totalement modifiée. Un message
ainsi qu’une demande de rançon apparaissent, les fichiers sont maintenant dérobés.
Serveur infecté
4) Réaction de l’entreprise
A l’heure actuelle, il est difficile de savoir Kaseya a payé la rançon. Le prix de la clef de
déchiffrement aurait chuté à 50 millions de dollars après quelques heures et les attaquants
ont proposé plusieurs méthodes de paiement. Cependant, le 22 juillet dernier, soit 20 jours
après le début des hostilités, l’entreprise annonce la mise à disposition d’une clef de
décryptage pour l’ensemble des victimes (entreprises touchées). Cette clef serait d’après eux
le résultat d’une collaboration avec l’entreprise néo-zélandaise Emsisoft, une société de
logiciel anti-virus reconnu pour leur capacité à décrypter les attaques de ransomware.
5) Conclusion
VSA de l’entreprise Kaseya avait la troisième vulnérabilité du top 10 OWASP 2021. Elle
travaillait sur un correctif mais a été pris de vitesse par les pirates. L’attaque est en cascade,
de nombreuses entreprises utilise le logiciel VSA pour la gestion, ce qui en fait une attaque
dévastatrice.
En se basant sur leur communiqué, je pense que l’entreprise a bien réagis en ne payant pas
la rançon, qui était un record historique. Cela peut sûrement en décourager beaucoup, en
montrant que les géants comme Kaseya, peuvent s’en sortir eux-mêmes.
Références
o https://owasp.org/Top10/fr/A03_2021-Injection/
o https://www.stormshield.com/fr/actus/alerte-securite-kaseya-une-nouvelle-attaque-
de-supply-chain-massive/
o https://blog.varonis.fr/attaque-de-revil-contre-kaseya-vsa-tout-ce-quil-faut-savoir/
o https://www.usine-digitale.fr/article/cyberattaque-vsa-kaseya-confirme-avoir-
obtenu-une-cle-de-decryptage-sans-payer-de-rancon.N1128249
o https://www.zdnet.fr/actualites/kaseya-les-fournisseurs-de-service-geres-vises-par-
un-groupe-de-ransomware-39925741.htm
o https://www.globalsign.com/en/blog/kaseya-attack-2021-are-ransomware-attacks-
inevitable
o https://www.kaseya.com/fr/societe/
o https://www.kaseya.com/products/vsa/