L’éditeur floridien Kaseya a détecté un piratage de son logiciel VSA de gestion de réseaux, juste avant le week-end de la fête nationale américaine. Une quarantaine de clients – dont 8 MSP au moins – seraient touchés sur les 40.000 clients de l’entreprise. Comme les MSP fournissent des services IT à leurs nombreux clients, « plus de 1.000 entreprises » sont potentiellement affectées par le rançongiciel, selon l’expert John Hammond de Huntress Labs. 17 pays au moins sont concernés.
Bleeping Computer affirme qu’un affilié du groupe de hackeurs REvil / Sodinokibi est à l’origine des menaces.
Même si Kaseya a alerté ses clients au plus vite, leur demandant d’éteindre leurs serveurs VSA, plusieurs entreprises déclarent être atteintes : Visma Esscom notamment. De ce fait, une grande chaîne de supermarchés en Suède, Coop, a été obligée de fermer les portes de 800 magasins environ samedi dernier. Toujours en Suède, une entreprise de chemin de fer et une chaîne de pharmacies ont annoncé figurer parmi les victimes collatérales.
Selon Sophos, les deux pays les plus touchés jusqu’à présent sont l’Allemagne et les Etats-Unis. Les cibles finales sont très diverses : des écoles aux agences de voyage, en passant par des coopératives de crédit.
Les rançons demandées vont de 45.000 à 5 millions de dollars en bitcoins. Non sans ironie, le site de REvil propose aussi un prix de gros : « Contre 70 millions de dollars, nous déchiffrerons tout. »
L’Agence américaine de cybersécurité et de sécurité des infrastructures (Cisa) « surveille de près la situation », a indiqué Eric Goldstein, l’un de ses responsables, à l’Agence France Presse. « Nous travaillons avec Kaseya et nous nous coordonnons avec le FBI pour mener des actions de sensibilisation auprès des victimes susceptibles d’être touchées. »