Comment StreamScan protège contre le ransomware qui a affecté Kaseya ?

La menace

Dans la nuit du 2 juillet 2021, à 2 heures du matin, Kaseya a annoncé qu’elle subissait une attaque ransomware ciblant sa technologie VSA. VSA est une technologie de gestion de réseaux informatiques utilisée par plusieurs organisations et fournisseurs de services d’impartition TI à travers le monde.

Le fait que l’attaque se produise pendant le long weekend du 4 juillet aux USA n’est pas un hasard. Ceci permet aux pirates d’avoir le temps et la latitude pour propager l’attaque et augmenter son ampleur. Plus l’impact est grand et plus les pirates peuvent demander une rançon élevée. Le 5 juillet 2021, Kaseya a déclaré qu'entre 800 et 1 500 organisations avaient potentiellement été touchées.


La réaction de Kaseya

Suite à la détection, Kaseya, en lien avec une firme de cybersécurité spécialisée en réponse aux incidents, et avec l’appui des autorités américaines (FBI, CISA, etc.) a lancé les investigations et recommandé comme mesure de confinement l’arrêt de toutes les instances VSA en production.

Les organisations utilisatrices de VSA ont été notifiées et une page web de suivi des investigations a été mise en place par Kaseya.

Les pirates ont exploité des vulnérabilités de type "zero-day" dans l’outil VSA pour contourner l'authentification et exécuter des commandes malicieuses, ce qui a permis le déploiement du ransomware sur des serveurs et machines des parcs informatiques de certains utilisateurs.

Les investigations ont permis d'identifier les indicateurs de compromissions (IOC) du ransomware, ce qui a permis à Kaseya de développer des outils d’analyse d’ordinateurs pour identifier ceux qui sont compromis par ce ransomware.

Cet outil peut être téléchargé ici: https://kaseya.app.box.com/s/0ysvgss7w48nxh8k1xt7fqhbcjxhas40

En parallèle, Kaseya a développé un correctif qui a été rendu disponible quelques jours plus tard.

Cette attaque a été attribuée au groupe REVIL et une demande de rançon initiale de 70 millions de $ US a été faite pour déchiffrer les données de l’ensemble des organisations impactées. Ce groupe a été démantelé. Le 23 juillet 2021, un décrypteur universel du ransomware a été mis à disposition par Kaseya pour permettre aux organisations impactées de pouvoir déchiffrer leurs données. Les organisations pouvaient certes décrypter leurs machines, mais les conséquences en termes de coûts supplémentaires et de perte de productivité étaient immenses.


Ce qu’il faut retenir de cette attaque

Cette attaque, tout comme celle de SolardWinds en 2020, montre un changement de paradigme des pirates spécialisés en ransomware. Concernant les groupes les plus structurés, il y a une nette évolution vers des attaques ciblées de grande ampleur, afin de collecter rapidement de gros montants de rançon, même si cela les met aussi sous les radars des autorités (ces pirates prennent donc beaucoup plus de risques). Ceci passe par des attaques de chaînes d’approvisionnement, notamment des logiciels utilisés à large échelle dans les organisations. Il est donc indispensable aujourd’hui pour les organisations de tenir compte de ce risque qui va s’accentuer dans le futur.

Les groupes de pirates les moins structurés ou disposant de peu de moyens continuent de mener des attaques aléatoires, espérant faire des victimes qui consentiront à payer une rançon. Encore tabou, le paiement de rançon reste paradoxalement le levier qui permet aux pirates de mieux se structurer, lancer des attaques de plus grandes ampleurs et faire plus de victimes.


Qu’a fait Streamscan pour protéger ses partenaires?

Une fois que l’attaque a été connue, comme il est d’usage dans les cas de cyberattaques majeurs, Streamscan a mis en place une cellule de gestion de crise qui a suivi l’évolution des investigations pendant le long weekend du 4 juillet et les jours suivants. Nous avons alerté nos clients et nous nous sommes assurés que partout où c'était nécessaire, les mesures de confinement recommandées ont été appliquées.

Notre équipe MDR a augmenté le niveau de vigilance dans la surveillance des réseaux et nos chasseurs de cybermenaces (Threat Hunter) ont scruté ces réseaux à la recherche de tout mouvement suspect ou signal en lien avec cette attaque.

Dès que les indicateurs de compromissions (IOC) ont été connus, nous les avons injectés dans notre technologie de détection de cybermenaces (CDS), ce qui a permis une surveillance accrue des trafics entrants/sortants vers les unités de commande et de contrôle (C&C) impliquées dans la distribution de cet ransomware. Cette liste peut être trouvée ici: https://github.com/cado-security/DFIR_Resources_REvil_Kaseya/tree/main/IOCs

Parallèlement nous avons eu accès aux copies des outils malicieux impliquées dans l’attaque dont les Hash SHA-256 sont:

  • 33bc14d231a4afaa18f06513766d5f69d8b88f1e697cd127d24fb4b72ad44c7a
  • 8dd620d9aeb35960bb766458c8890ede987c33d239cf730f93fe49d90ae759dd
  • D55f983c994caa160ec63a59f6b4250fe67fb3e8c43a388aec60a4a6978e9f1e

Nous avons analysé ces fichiers dans notre laboratoire de rétro-ingénierie et nous avons conclu que ce ransomware est de la famille Sodinokibi. Ce ransomware n’est pas un inconnu pour nous. En effet, au cours des dernières années, notre équipe de réponse aux incidents a aidé plusieurs organisations victimes de ce ransomware à se remettre sur pied.

Nous avons évalué la capacité de notre technologie CDS à détecter cette variante de Sodinokibi. Notre technologie CDS disposait déjà de plusieurs modèles comportementaux ML/AI capables de détecter Sodinokini. Lors de l’évaluation, plusieurs événements de sécurité ont été générés par le CDS en lien avec l'exécution de la présente variante du ransomware Sodinokibi, ce qui confirme sa capacité à détecter ce ransomware qui demeure un des plus actifs et agressifs depuis 2020.

Nous avons aussi extrait des IOC réseaux et hosts supplémentaires et nous avons construit des modèles de détection comportementaux additionnels qui ont été injectés dans notre CDS.

Notre centre MDR maintient sa vigilance. Les organisations qui ont acquis le CDS StreamScan et la gèrent elles même sont aussi protégées.



Les bénéfices pour nos clients MDR dans ce cas d’incident majeur

  • Mise en place d’une cellule de crise afin de nous assurer que nos clients ne sont pas à risque
  • Réaction rapide et accompagnement de nos partenaires dans l’application des mesures de réponse
  • Notre expertise en rétro-ingénierie de malwares et en détection d’intrusions nous permet de cerner rapidement le problème et de créer des modèles de détection qui sont partagés très rapidement à l'exemple de nos clients pour les protéger. Un tel niveau de protection ne peut être obtenu avec un fournisseur qui offre un service MDR via une technologie de tiers partie.
  • Nous tenons nos clients informés de l’évolution de la situation et, nous leurs faisons des recommandations additionnelles


Découvrez comment notre CDS et le service MDR peuvent assurer la sécurité de votre réseau

Nous sommes convaincus qu'après avoir vu les résultats de notre surveillance, vous ne voudrez plus laisser votre réseau sans protection. Nous vous proposons donc une évaluation gratuite de 30 jours qui comprend :

  • Une séance d'information
  • Configuration du CDS dans votre réseau
  • Evaluation et preuve de valeur gratuite de 30 jours

Contactez-nous à l'adresse securitepme@streamscan.ai ou appelez-nous au +1 877 208-9040.