Joe Biden a déclaré samedi qu’il avait demandé aux agences de renseignement américaines d’enquêter sur une attaque de ransomware sophistiquée qui a frappé des centaines d’entreprises américaines au début du week-end férié du 4 juillet et a éveillé des soupçons d’implication de gangs russes.
Huntress, une société de sécurité, a déclaré vendredi qu’elle pensait que le gang de ransomware REvil lié à la Russie était à blâmer. Le mois dernier, le FBI a accusé le même groupe d’avoir paralysé l’emballeur de viande JBS.
Actif depuis avril 2019, REvil développe un logiciel paralysant le réseau et le loue à des soi-disant affiliés qui infectent des cibles et gagnent la part du lion des rançons. JBS, une entreprise de viande basée au Brésil, a déclaré avoir payé l’équivalent d’une rançon de 11 millions de dollars, multipliant les appels des forces de l’ordre américaines pour traduire ces groupes en justice.
Lors d’une visite au Michigan, Biden a été interrogé sur le piratage alors qu’il achetait des tartes dans une cerisaie. Le président a déclaré « nous ne savons pas » qui est derrière l’attaque.
“L’idée initiale était que ce n’était pas le gouvernement russe mais nous n’en sommes pas encore sûrs”, a-t-il déclaré.
Biden a déclaré qu’il avait demandé aux agences de renseignement américaines d’enquêter et que les États-Unis répondraient s’ils déterminaient que la Russie était à blâmer. Lors d’un sommet à Genève le 16 juin, Biden a exhorté Vladimir Poutine à sévir contre les pirates informatiques russes et a mis en garde contre les conséquences si les attaques de ransomware se poursuivaient.
Les pirates informatiques qui ont frappé vendredi ont détourné un logiciel de gestion de technologie largement utilisé d’un fournisseur, Kaseya, dont le siège est à Dublin et à Miami. Ils ont modifié un outil appelé VSA, utilisé par les entreprises qui gèrent la technologie dans les petites entreprises, puis ont chiffré les fichiers des clients de ces fournisseurs.
Kaseya a déclaré qu’il enquêtait sur une “attaque potentielle” contre VSA, qui est utilisé par les professionnels de l’informatique pour gérer les serveurs, les ordinateurs de bureau, les périphériques réseau et les imprimantes. Huntress a déclaré qu’il suivait huit fournisseurs de services gérés qui avaient été utilisés pour infecter environ 200 clients.
Les effets ont été ressentis à l’échelle internationale. En Suède, la plupart des 800 magasins de la chaîne d’épicerie Coop n’ont pas pu ouvrir car les caisses enregistreuses ne fonctionnaient pas, selon le radiodiffuseur public. Les chemins de fer nationaux et une grande chaîne de pharmacies ont également été touchés.
“Il s’agit d’une attaque de chaîne d’approvisionnement colossale et dévastatrice”, a déclaré John Hammond, chercheur principal en sécurité chez Huntress, faisant référence à une technique de plus en plus médiatisée consistant à détourner un logiciel pour compromettre des centaines ou des milliers d’utilisateurs.
Le directeur général de Kaseya, Fred Voccola, a déclaré que la société pensait avoir identifié la source de la vulnérabilité et “publierait ce correctif le plus rapidement possible pour que nos clients soient à nouveau opérationnels”.
Voccola a déclaré que moins de 40 clients Kaseya étaient affectés, mais le ransomware pourrait affecter des centaines d’entreprises qui dépendent des clients Kaseya.
Voccola a déclaré que le problème n’affectait que les clients « sur site », les organisations gérant leurs propres centres de données. Cela n’affectait pas les services basés sur le cloud exécutant des logiciels pour les clients, bien que Kaseya ait fermé ces serveurs par mesure de précaution, a-t-il déclaré.
La société a déclaré que “les clients qui ont subi un ransomware et qui reçoivent une communication des attaquants ne doivent cliquer sur aucun lien – ils peuvent être transformés en arme”.
Une analyste de Gartner, Katell Thielemann, a déclaré qu’il était clair que Kaseya « a réagi avec beaucoup de prudence. Mais la réalité de cet événement est qu’il a été conçu pour un impact maximal, combinant une attaque de la chaîne d’approvisionnement avec une attaque de ransomware. »
Pour compliquer la réponse, l’attaque s’est produite au début d’une grande fête aux États-Unis, lorsque la plupart des équipes informatiques des entreprises ne sont pas entièrement dotées en personnel. Cela pourrait empêcher les organisations de remédier à d’autres vulnérabilités de sécurité, telles qu’un dangereux bogue Microsoft affectant les logiciels pour les travaux d’impression, a déclaré James Shank, analyste de renseignements sur les menaces.
“Les clients de Kaseya sont dans la pire situation possible”, a déclaré Shank. “Ils courent contre la montre pour obtenir les mises à jour sur d’autres bogues critiques.”
Shank a déclaré « qu’il est raisonnable de penser que le moment était prévu » pour les vacances.
L’Agence américaine de cybersécurité et de sécurité des infrastructures (Cisa) a déclaré qu’elle “prenait des mesures pour comprendre et lutter contre la récente attaque de ransomware de la chaîne d’approvisionnement”. De telles attaques se sont glissées au sommet de l’agenda de la cybersécurité après que les États-Unis aient accusé des pirates informatiques d’opérer sous la direction du gouvernement russe et de falsifier un outil de surveillance de réseau conçu par une société de logiciels texane, SolarWinds.
Jeudi, les autorités américaines et britanniques ont déclaré que des espions russes accusés d’ingérence dans les élections américaines de 2016 avaient passé une grande partie des deux dernières années à abuser des réseaux privés virtuels (VPN) pour cibler des organisations dans le monde entier. L’ambassade de Russie à Washington a nié l’accusation.
