Bien plus de 1.000 entreprises ont été touchées par la cyberattaque qui a visé le fournisseur de logiciels de gestion informatique Kaseya vendredi. Il était estimé hier qu’au moins 8 MSP avaient été touchés. Ce nombre est revu à 30 aujourd’hui et pourrait encore évoluer au fur et à mesure de la découverte de l’ampleur de l’attaque. Rappelons que derrière chaque client de Kaseya, on compte des centaines de victimes.

Dans un communiqué reçu hier en fin de journée, Kapersky annonce avoir détecté 5.000 tentatives d’attaques dans 22 pays. Les plus touchés sont l’Italie (45%), les Etats-Unis (26%), la Colombie (15%), l’Allemagne (3%) et le Mexique (2%). Selon la multinationale russe spécialisée en cybersécurité, « les attaquants ont déployé une charge utile malveillante via un script PowerShell qui, à son tour, a été vraisemblablement exécuté via le logiciel du fournisseur MSP. Le script a désactivé les fonctionnalités de la protection Microsoft Defender for Endpoint et a ensuite décodé un exécutable malveillant qui comportait un système binaire Microsoft légitime, une ancienne version de la solution Microsoft Defender et une librairie malveillante contenant le ransomware REvil. En utilisant cette combinaison de composantes dans la machine, les attaquants ont été capables d’exploiter la technique DLL side-loading et d’attaquer un grand nombre d’organisations ».

Pour sa part, le groupe de ransomware russophone REvil, estime que plus d’un million de systèmes sont infectés.

L’Institut néerlandais pour la divulgation des vulnérabilités (DIVD) a affirmé dans un post qu’il avait identifié, avant l’attaque, un certain nombre de vulnérabilités de type ‘zero-day’. Ayant pris connaissance de ces vulnérabilités, Kaseya s’était engagée à coopérer avec le DIVD pour développer et publier un correctif mais a été prise de court par REvil. La coopération entre l’institut de recherche et le distributeur se poursuit alors que 140 serveurs VSA clients étaient encore exposés à internet hier.

Interrogé par l’agence de presse Reuters, le PDG de Kaseya, Fred Voccola, a refusé d’indiquer s’il était prêt à négocier avec les hackers.

« Le calendrier de remise en ligne des clients sur site sera publié une fois que la restauration du SaaS aura commencé », précise la société, qui a publié un nouvel outil de détection de compromission à télécharger par ses clients.