Connexion
Abonnez-vous

REvil infecte plus d’un million de systèmes infogérés

REvil infecte plus d'un million de systèmes infogérés

Le 05 juillet 2021 à 07h52

Ils auraient été compromis par ce ransomware dans une attaque lancée vendredi dernier, à la veille du week-end prolongée du 4 juillet aux États-Unis. Plus de 1 000 entreprises auraient été infectées, explique BleepingComputer, via 30 fournisseurs de services d'infogérance reposant sur le logiciel VSA de surveillance à distance et de gestion des terminaux de la société Kaseya.

Environ 500 des 800 supermarchés de la chaîne suédoise Coop ont dû fermer, leurs caisses enregistreuses, n'acceptant que les seuls paiements par carte bancaire, ayant été infectées. Le ransomware se serait propagé via une faille « zero day » que Kaseya était sur le point de corriger, précisent nos confrères. 

REvil réclamait initialement 4 millions de dollars aux entreprises d'infogérance, ou 44 999 $ pour leurs clients, la demande de rançon pouvant cela dit monter jusqu'à 500 000 $ pour décrypter l'ensemble de leur réseau. D'après la société de cybersécurité Huntress, qui chronique l'attaque sur son blog et reddit, le gang réclamerait désormais 70 millions de dollars en bitcoins.

Kaseya, qui a passé le week-end à documenter l'attaque, explique à ses clients de ne surtout pas cliquer sur les liens envoyés par les attaquants.

Le 05 juillet 2021 à 07h52

Commentaires (30)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Oula c’est bien moche ça.



Fin bon, ca me rapelle mon temps ou je bossai pour une société qui avait des systèmes de caisse quand tu expliques que les maj de sécurité ne devraient pas être désactivées sur les caisses (et qu’il devrait y avoir un WSUS) on t’explique que c’est safe parce qu’elles sont pas directement exposée à internet pour le moment.



Et quand tu rencontres les constructeurs de matériel type “caisse” et qu’on te propose du xp alors que la fin de support était dans moins d’un an…



Et que quand tu testes sur windows 8.1 ( à l’époque) ca bug de partout et qu’il s ont des drivers qui se lancent en mode compatibilité (ben oui pas de vrais support de touch screen) tu te dis que ca va bientôt arriver enf rance aussi ce genre de problèmes.

votre avatar

Ce qui est bizarre, c’est qu’en général les caisses des magasins sont reliées d’une manière ou d’une autre à la comptabilité du siège, ou au système de commandes pour le ré-assort des marchandises du magasin.
Ne me dis pas qu’ils lançaient leurs commandes de réassort des marchandises par fax, ou par pigeon voyageurs !

votre avatar

Depuis un autre système, dans le magasin.



Et disons que ce qu’ils vendaient en magasin était “produit” sur place. donc la gestion de stock se faisait au moment du lancement des fabrications.



Et oui les caisses était reliées à un système de remontée caisses.

votre avatar

Commentaire en double à supprimer.

votre avatar

Non mais la vraie question c’est est-ce que la prise de conscience a réellement démarré ou pas ?



Il me semble y avoir désormais suffisamment de passif sur le ransomware pour orienter les investissements et les pratiques vers une politique de protection plus accrue.

votre avatar

Prise de conscience de quoi? Les caisses ont été chiffrées par leur logiciel de gestion central. Comme quasiment un million de postes / serveurs.



Par contre, peut être que le SaaS sera remis en question pour les domaines critiques, comme ici…

votre avatar

Je ne pensais pas avoir à le préciser mais je pars du principe que c’est surtout le vecteur de transmission qui concentre l’attention et donc les propos dans ce type de brève.

votre avatar

Je ne crois qu’il y ait une large prise de conscience et, de dépit, je finis par me dire que les entreprises qui sont victimes le méritent quelque part.

votre avatar

Ben oui, les victimes les méritent toujours quelque part …



Faut voir comment ils sont rentré dans le système surtout, j’ai été victime 2 fois d’un ransomware. La première via une faille d’une pub sur un site web (style mediafire). Navigateur à jour (firefox) et système d’exploitation à jour. Pas de conséquences car simple de s’en débarrasser (restauration système).
La deuxième sur un PC d’un employé de confiance, donc il avait le mot de passe admin (heureusement pas de propagation réseau). Là j’ai du réinstaller la machine. Je ne sais pas vraiment comment il a chopé le truc.



Donc ouais, j’aurai pu porter des vêtements moins provocants, mais je ne suis pas certain de l’avoir mérité …

votre avatar

J’imagine qu’ils se croient tout simplement en sécurité car derrière un NAT.
Pour la liaison au siège, cela passe sûrement par un VPN.

votre avatar

Gorom a dit:


Non mais la vraie question c’est est-ce que la prise de conscience a réellement démarré ou pas ?


Non, car c’est toujours le même discours (au choix, plusieurs réponses valides) :
“on ne touche pas quelque chose qui fonctionne”, “ça coute cher”, “on n’est pas des cibles”, “il y a des assurances”, “ça sera de la faute au prestataire / stagiaire / chat…”



Il y a d’ailleurs des boites qui se sont pris plusieurs crypto d’affilé…

votre avatar

Gorom a dit:


Non mais la vraie question c’est est-ce que la prise de conscience a réellement démarré ou pas ?



Il me semble y avoir désormais suffisamment de passif sur le ransomware pour orienter les investissements et les pratiques vers une politique de protection plus accrue.


Un RMM, même rançonné de 500 000 $, reste plus profitable que pas de RMM… surtout à grande échelle.



La seule prise de conscience qu’il y a aura sera d’augmenter la prime de transfert de risque (=prendre une assurance anti-ransomware par exemple, ou supprimer 500k€ du plan de profitabilité, ou autre truc du genre).

votre avatar

patos a dit:


Par contre, peut être que le SaaS sera remis en question pour les domaines critiques, comme ici…


Euh, c’est un peu l’inverse qui s’est passé : les clients SaaS n’ont pas été impactés car le correctif à la faille 0day avait déjà été déployé sur leur infrastructure, par sécurité, la plateforme a quand même été éteinte en attendant.



Par contre ce n’était pas le cas chez les clients avec le logiciel installé “on premise” (sur site), le déploiement du correctif était en test… (indiqué dans le 2e lien vers bleepingcomputer) et les serveurs se sont fait chiffrés avant…



C’est plutôt le fait d’avoir une confiance aveugle dans les outils tiers (sur site ou “cloud”) qu’il faut changer.



Il faut avoir : un service informatique interne… des sauvegardes multiples régulières et “froides”, des PRA… trop souvent c’est un / des presta qui gère(nt) tout, et en cas de pépin, il n’y a plus personne…



Entre Revil qui prend une sacrée ampleur et un gros datacenter qui crame, l’année 2021 est top et c’est pas fini ! :mad2:

votre avatar

Accepter aveuglément les mises à jour depuis un tiers qui peut gérer ton infra est la même erreur que lui donner la gestion de ton infra. Dans les 2 cas, tu n’as pas de compétence permettant de vérifier ce qu’il fait, et est donc à sa merci

votre avatar

misocard a dit:


Faut voir comment ils sont rentré dans le système surtout, j’ai été victime 2 fois d’un ransomware. La première via une faille d’une pub sur un site web (style mediafire). Navigateur à jour (firefox) et système d’exploitation à jour.


Quel OS, quel antivirus et quel niveau de protection dessus ? (c’est là aussi que l’on réalise l’intérêt des bloqueurs de pub)



Pour le 2e cas, sans plus d’info, ça peut être n’importe quoi en effet, et quand même souvent c’est la faute de l’utilisateur…

votre avatar

  1. Windows 7 ou 8 (à l’époque c’était la dernière version)

  2. Windows 10 (et il ne devait pas y avoir de versions de retard vu que les mises à jours étaient automatiques).



Mon message voulait surtout dire que rendre la victime responsable c’est un peu simple et c’est un discours glissant.



Oui il y a toujours moyen de mieux se protéger, mais à un moment peut être qu’il faudrait s’attaquer aux agresseurs …

votre avatar

Avisance a dit:


Je ne crois qu’il y ait une large prise de conscience et, de dépit, je finis par me dire que les entreprises qui sont victimes le méritent quelque part.


Prise de conscience ou pas, chaque situation est différente.
Des changements importants dans un SI complexe ne se font pas en quelques mois, surtout en période de Covid.



Il n’y a pas toujours qu’un simple Patch à déployer et on ne rattrape pas de nombreuses années de sous-investissement IT et Sécurité en 1-2 ans, surtout si cela donne lieu à des changement de matériel, de logiciels, de process, de compétences, etc…



Dans une PME ça peut aller vite, dans un grand groupe, ca peut être plus lent…
Je pense que n’importe quelle DSI est consciente du risque, et je ne suis pas sûr que les discours du genre « on n’est pas la cible » viennent souvent de la DSI ou de la RSSI. Mais chacun doit faire avec des contraintes plus ou moins lourdes.

votre avatar

(quote:1884299:dvr-x)
je ne suis pas sûr que les discours du genre « on n’est pas la cible » viennent souvent de la DSI ou de la RSSI.


Si seulement… :mad2:
Le “on n’est pas la cible” perso je l’ai surtout entendu venant des devs, des chefs de projets et de leurs hiérarchies.

votre avatar

Zerdligham a dit:


Si seulement… :mad2: Le “on n’est pas la cible” perso je l’ai surtout entendu venant des devs, des chefs de projets et de leurs hiérarchies.


Récemment ? Je dois bosser avec des gens mieux informés :D

votre avatar

(quote:1884316:dvr-x)
Récemment ? Je dois bosser avec des gens mieux informés :D


J’ai déjà entendu une variante de “On n’est pas la cible”, c’est “Tout le monde s’en fout [des données qu’on traite]”.

votre avatar

Pour avoir bossé en tant que presta chez une grande enseigne du bricolage, rien n’était fait correctement, ça m’étonne d’ailleurs qu’ils se sont jamais prit une attaque ou un dys fonctionnement de grande ampleur : systèmes de caisses pas à jour, logiciel de gestion de stock central codé par des free-lances il y’a plusieurs années avant de passer en SAAS (pas du tout prévu pour), OS obsolètes, sécurité des serveurs (mots de passes, gestions des droits…), la quasi totalité du SI gérée par des centaines de presta, j’en passe et des meilleures. Je ne comprend pas comment des boites aussi grosses délaissent tout ça, sachant les risques encourus

votre avatar

Et si on bannissant les crypto monnaie et tor , déjà les hacker auront plus de difficulté à se caché,
Pour les moin familiariser, si tu réussi a hacker le serveur central le reste devient un jeu d’enfants pour contaminé les machine du réseau et moin visible pour supervisé l’activité que si tu contaminé une machine et quel essaye de contaminé une autre machine quel échangé jamais avec.



En gros bannissant la base qui permet à un hacker de bien ce cacher et on va pouvoir mieux l’arreté

votre avatar

+1



Bannissons aussi western union et tous les transferts d’argent en ligne.
et aussi l’argent liquide.
et puis les sociétés écrans.



en fait, bannissons l’argent. Sans argent, pas de rançon. Problème résolu.

votre avatar

“pour récupérer vos données, laissez s’échapper un troupeau de Charolaises dans la pâture de XYZ. Ne prévenez pas la police !”



En fait je crois qu’il faut supprimer la notion de propriété.

votre avatar

misocard a dit:


Mon message voulait surtout dire que rendre la victime responsable c’est un peu simple et c’est un discours glissant.


La victime “directe” n’est pas toujours en tort, mais c’est quand même souvent lié à une mauvaise hygiène et / ou mauvais choix de solution informatique.




patos a dit:


Accepter aveuglément les mises à jour depuis un tiers qui peut gérer ton infra est la même erreur que lui donner la gestion de ton infra.


Ça, je n’ai pas dit le contraire, uniquement que dans le cas précis, le SaaS était “moins pire” que le on premise, ce qui est quand même balot :/




lordofkill a dit:


Et si on bannissant les crypto monnaie et tor , déjà les hacker auront plus de difficulté à se caché


Mais bien sûr, les actes de piratage (et piraterie) ont attendu l’apparition des crypto monnaie :D

votre avatar

bilbonsacquet a dit:


La victime “directe” n’est pas toujours en tort, mais c’est quand même souvent lié à une mauvaise hygiène et / ou mauvais choix de solution informatique.


Pas forcément, ca peut être aussi une méconnaissance, qui est déléguée à un prestataire “sachant”, qui en l’occurrence ne sait pas grand chose… Donc défaut de conseil. A partir de la, l’acheteur peut faire valoir le fait que son prestataire avait un “Devoir de conseil” et lui demander des comptes.



Tes propos tendent à dire qu’il faut obligatoirement connaitre la mécanique pour avoir une voiture. Perso je sais juste la conduire, et l’entretien mécanique est confié à une personne dont c’est le métier!



Chacun son métier, et faire appel à des presta n’est pas un problème en soi. Le soucis c’est qu’ils font souvent appels à des presta “bas de gamme” car “l’informatique ca coute cher”, et qu’ils tirent les prix à mort. Donc prestations bas de gamme… Sauf que leur SI deviens un vite un SPOF.

votre avatar

th3squal a dit:



Tes propos tendent à dire qu’il faut obligatoirement connaitre la mécanique pour avoir une voiture. Perso je sais juste la conduire, et l’entretien mécanique est confié à une personne dont c’est le métier!


Si tu ne sais pas vérifier ton niveau d’huile ou la pression de tes pneus, que tu ne sais pas à quel délais faire une vidange ou changer une courroie de distribution, attends-toi a des soucis quand même. Il y a un minimum.

votre avatar

Si tu suis ton entretien périodique (annuel ou kilométrique), excepté la pression des pneus, le carburant, pour certains véhicule l’AdBlue, voire le liquide lave glace, tu n’à rien à connaitre en mécanique… Et tiens, comme c’est bien fait, c’est même marqué dans le “Manuel utilisateur” de la voiture. Tu sais le livre qui se trouve souvent dans la boite a gant ?



Et quand bien même, si tu ne veut vraiment pas t’embêter avec la pression des pneus, et les niveaux, tu peux toujours demander à ton garage de le faire à ta place. Même pour faire ton plein, tu peux faire appel dans une “Station service” (pas un simple distributeur de carburant), oui, oui le petit interphone à coté des pompes.

votre avatar

(reply:1884316:dvr-x)


Dit ouvertement comme ça, plus depuis quelques années. Je ne sais par contre pas trop si c’est parce qu’ils avaient arrêté de le penser ou s’ils étaient juste fatigué que je leur fasse la leçon :censored:
En tout cas le comportement de fond n’avait pas toujours changé au moment où j’ai démissionné.

votre avatar

(quote:1884245:127.0.0.1)
Un RMM, même rançonné de 500 000 $, reste plus profitable que pas de RMM… surtout à grande échelle.



La seule prise de conscience qu’il y a aura sera d’augmenter la prime de transfert de risque (=prendre une assurance anti-ransomware par exemple, ou supprimer 500k€ du plan de profitabilité, ou autre truc du genre).


Le problème est qu’en faisant cela tu donnes un bon budget bien juteux pour de la R&D des mafieux… (Si je t’ai bien compris).

REvil infecte plus d’un million de systèmes infogérés

Fermer