L'incident massif de ransomware de Kaseya a réveillé une armée de fraudeurs de logiciels malveillants.
Les clients du logiciel VSA (Vector Signal Analysis) de Kaseya sont invités à se méfier des courriels de phishing prétendant offrir une mise à jour de sécurité, mais contenant en réalité une charge utile malveillante. Cette campagne d'hameçonnage est le résultat d'une attaque massive par ransomware de la chaîne d'approvisionnement qui s'est propagée par le biais d'un logiciel créé par la société informatique basée en Floride.
Le célèbre groupe de pirates REvil est à l'origine de l'attaque, qui a exploité des vulnérabilités dans le logiciel VSA de Kaseya pour diffuser un ransomware. Dans la foulée, Kaseya a déclaré que l'attaque avait touché moins de 60 clients, tout en précisant que nombre d'entre eux fournissent des services informatiques à plusieurs autres entreprises.
"Nous comprenons que l'impact total jusqu'à présent a été de moins de 1 500 entreprises en aval. Nous n'avons trouvé aucune preuve que l'un de nos clients SaaS [software-as-a-service] ait été compromis", a déclaré Kaseya dans un communiqué.
Kaseya est en train d'examiner toute la portée de l'attaque et la manière dont elle peut empêcher des incidents similaires de se produire à l'avenir. Cela inclut "l'ajout de beaucoup plus de rigueur à nos processus, à notre déploiement, à la base de code pour assurer la sécurité de tous et pour améliorer la posture de sécurité globale de nos produits".
Mais pendant que l'enquête se déroule, des acteurs opportunistes de logiciels malveillants tentent d'inciter les victimes à installer un code malveillant, sous couvert d'une mise à jour de sécurité.
"Une campagne de #malspam profite de l'attaque de Kaseya VSA #ransomware pour déposer #CobaltStrike. Elle contient une pièce jointe nommée 'SecurityUpdates.exe' ainsi qu'un lien prétendant être une mise à jour de sécurité de Microsoft pour corriger la vulnérabilité de Kaseya", a déclaré Malwarebytes sur Twitter.
Kaseya met également en garde contre ce comportement, indiquant à ses clients qu'il est conscient que de mauvais acteurs envoient de fausses notifications par e-mail conçues pour apparaître comme des mises à jour officielles de Kaseya, alors qu'il n'en est rien.
"Il s'agit d'emails de phishing qui peuvent contenir des liens et/ou des pièces jointes malveillants", indique Kaseya. " Ne cliquez sur aucun lien et ne téléchargez aucune pièce jointe dans les courriels prétendant être un avis de Kaseya ". À l'avenir, toutes les nouvelles mises à jour des e-mails de Kaseya ne contiendront aucun lien ou pièce jointe."
Kaseya met en évidence les parties clés de sa communication en gras pour bien faire passer le message. Et selon Malwarebytes, au moins une des campagnes de phishing tente d'inciter les victimes à installer un fichier exécutable Windows contenant une charge utile Cobalt Strike. Cobalt Strike est un outil de test de pénétration qui est l'un des plus utilisés par les cybercriminels.
Du côté positif, Kaseya affirme avoir corrigé les failles de sécurité dont REvil a profité et avoir mis en place des mesures de sécurité supplémentaires.
HOTHARDWARE