Environ 60 clients Kaseya touchés par REvil

Le nombre de clients fournisseurs de services gérés (MSP) touchés par une attaque de ransomware REvil / Sodinokibi de grande envergure orchestrée par le produit VSA de Kaseya a été révisé à la hausse d’environ 40 à environ 60.

L’attaque, qui s’est déroulée le 2 juillet, a jusqu’à présent perturbé quelque 1 500 clients en aval , dont beaucoup de petites et moyennes entreprises (PME) des MSP concernés.

Dans une nouvelle déclaration publiée au cours des dernières 24 heures, Kaseya a déclaré qu’il n’avait reçu aucun rapport de compromissions supplémentaires pour les utilisateurs de VSA depuis le 3 juillet, et n’avait trouvé aucune preuve que l’un de ses clients software-as-a-service (SaaS) ait été affecté. Il a ajouté que VSA est le seul produit compromis et que tous ses autres services ne sont pas affectés.

« Notre comité exécutif s’est réuni cet après-midi. [5 July] à 18 h 30 HE [11.30pm BST] pour réinitialiser le calendrier et le processus de remise en ligne de nos clients SaaS et sur site », a déclaré la firme.

« Le correctif pour les clients locaux a été développé et passe actuellement par le processus de test et de validation. Nous nous attendons à ce que le correctif soit disponible dans les 24 heures suivant la mise en place de nos serveurs SaaS.

Kaseya prévoit actuellement de remettre ses serveurs SaaS en ligne plus tard le 6 juillet entre 19h et 22h, heure du Royaume-Uni, et prendra une décision finale à ce sujet de manière imminente. Il a déclaré qu’il publierait VSA avec des fonctionnalités étendues pour récupérer les services plus tôt, la première version empêchant l’accès à certaines fonctionnalités pour le moment.

Il a également rencontré les autorités américaines pour discuter des exigences de renforcement du système et du réseau pour les clients SaaS et sur site, et publiera ces exigences, encore une fois, de manière imminente. Il est probable que le correctif devra être installé avant le redémarrage. En attendant, tous les serveurs VSA locaux doivent rester hors connexion.

« Nos experts externes nous ont conseillé que les clients qui ont rencontré des ransomwares et ont reçu des communications des attaquants ne devraient pas cliquer sur des liens – ils peuvent être armés », a-t-il ajouté.

Jusqu’à présent, peu de clients MSP impactés se sont identifiés, mais Velzart, un fournisseur de services cloud, informatiques et réseau basé aux Pays-Bas, a tenu ses clients informés de l’avancement de sa récupération via son blog.

À la fin du lundi 6 juillet, la firme a indiqué qu’elle avait techniquement réparé 70% des serveurs impactés et les avait remis à l’usage des clients, et qu’elle comptait restaurer le reste de son parc de serveurs d’ici mercredi. Le cabinet a ensuite remercié ses clients pour leur patience et leur compréhension, ainsi que pour leur assistance technique et même leurs rafraîchissements.

Alors que plus d’informations continuent de ruisselé sur l’attaque, il devient maintenant clair que REvil a accédé à des instances sur site du serveur VSA via un jour zéro nouvellement découvert – comme indiqué précédemment, probablement une vulnérabilité d’injection SQL – et a livré la charge utile du ransomware via une mise à jour automatique déployée déguisée en agent de gestion.

Comme l’a noté Sophos, entre autres, cela a donné au gang une couverture supplémentaire pour se faufiler au-delà des défenses en exploitant la confiance des clients dans le produit VSA.