HelloKitty pas si rose que cela !
Une nouvelle variante du rançongiciel du nom d'HelloKitty s'attaque aux machines ESXi.
Selon des chercheurs de MalwareHunterTeam, de multiples variantes de Linux ELF 164 du ransomware HelloKitty s'attaquent aux machines virtuelles ESXi. Il est capable de chiffrer l'ensemble de ces machines. Il essaie de fermer les machines virtuelles placées sur le serveur ESXi pour chiffrer les fichiers et empêcher qu'ils soient verrouillés. Une fois la machine fermée, le logiciel chiffre différents fichiers (.vmdk, .vmsd, .vmsn).
Il semblerait que cela devienne une vraie tendance de cibler les environnements de VMware très présents dans les entreprises. Outre ce rançongiciel, Babuk, RansomExx, Mespinoza ou Revil ont cette fonctionnalité.
Keyrus victime d’un ransomware
Une nouvelle ESN française est frappée de plein fouet par un ransomware. Après Umanis et Sopra Steria, c’est au tour de Keyrus d’être victime du chiffrement d’une partie de ses systèmes. Le groupe explique avoir identifié l’origine de l’attaque.
Série noire pour les ESN françaises, cibles régulières de cyberattaques. Altran, Umanis ou encore Sopra Steria en ont été victimes, et on a appris hier que Keyrus est à son tour victime d’un ransomware, et ce au moins depuis le 9 juillet. Dans son communiqué, le groupe sis à Levallois-Perret explique que, « en dépit des mesures renforcées de sécurité appliquées au quotidien pour protéger les données et l’intégrité des ressources informatiques connectées et installées sur les systèmes du Groupe Keyrus, une partie de ces derniers ont été chiffrés ».
Keyrus signale qu’il a identifié l’origine de l’attaque et que, dès que l’infection a été repérée, sa DSI a mis en œuvre « des mesures d’isolement et de sécurité […] dans les plus brefs délais pour contenir la propagation du virus et préserver les clients et partenaires du Groupe ».
Plan de gestion des risques et plan de remédiation
On ignore donc l’étendue des dégâts ou si les attaquants ont exigé une rançon. Keyrus explique avoir mis en place un plan de remédiation pour offrir « toutes les garanties d’un redémarrage progressif et sécurisé de ses systèmes informatiques, et qui permet d’assurer la continuité de ses services et de ses opérations ». Celui-ci « se déroule comme prévu ».
Si les équipes du groupe ont été mobilisées « dès les premières heures de l’incident », elles se sont « entourées, en France et à l’international, d’experts techniques en cybersécurité, dont certains mandatés par la compagnie d’assurance de Keyrus, pour analyser les causes ainsi que le mode opératoire de l’attaque » ajoute l’entreprise, qui précise par ailleurs être en contact avec ses clients et les autorités compétentes. Keyrus se refuse de commenter plus en avant cette attaque.
Etude IFOP / F-Secure : les Français comprennent-ils bien les enjeux de la cybersécurité ?
F-Secure, entreprise finlandaise experte en cybersécurité depuis plus de 30 ans, publie les résultats de son étude* réalisée en partenariat avec l’institut de sondage IFOP sur la perception des enjeux cyber par le grand public et les dirigeants d’entreprise. Le constat est simple : Si la multiplication des cyberattaques inquiète particuliers et dirigeants (TPE /PME / groupes de taille intermédiaire), on observe des similitudes sur le plan de l’investissement et des disparités sur le sujet de la connaissance et de l’information sur la sécurité !
Des Français peu familiers du vocabulaire employé par les médias et entreprises de cybersécurité
Sécurité, internet, piratage et antivirus supplantent de loin les termes plus techniques de la cybersécurité comme « Ransomware » (10 % les connaissent assez bien), « Phishing » (22 % assez bien) ou encore « Malware » (21 % assez bien). En effet, quand on interroge les Français sur leur niveau de connaissance des termes classiques de la cybersécurité et redondants dans les médias, on obtient :
Les Français connaissent et citent majoritairement les termes génériques, à 60% (sécurité – données personnelles – mot de passe…) et aux risques liés, à 45 % (piratage – virus – attaque informatique…).
« La vulgarisation est un des grands enjeux de notre société actuelle sur le secteur de la cybersécurité pour les particuliers. Il est plus que jamais nécessaire d’utiliser un langage simple et compréhensible de tous. Nous savons que nous devons intéresser les particuliers sur des éléments qui les concernent directement comme les données personnelles ou encore les réseaux sociaux utilisés par les enfants. » explique Jonathan Farhi, Directeur Marketing – Produits Grand Public chez F-Secure France
Le paradoxe français : investir pourquoi pas… mais à petit prix
Inquiets, les Français (particuliers et professionnels) le sont. Plus de 7 Français sur 10 craignent les cyberattaques touchant les hôpitaux, les laboratoires ou encore les institutions. 71 % s’inquiètent particulièrement pour leurs données personnelles – ce chiffre augmente significativement (80 %) auprès des familles avec un enfant.
C’est tout naturellement que près de 6 Français sur 10 estiment qu’investir pour se protéger d’une cyberattaque est un enjeu majeur pour eux – ce pourcentage avoisine les 95 % pour les entreprises et les institutions. Néanmoins, le bât blesse quand il s’agit d’évoquer concrètement le prix de l’investissement. 80 % des particuliers sont prêts à investir entre un et 50 euros dans un antivirus ou dans la sécurité de leurs IOT.
La raison principale évoquée pour ces investissements réside dans la crainte du piratage de données personnelles.
Côté entreprise, le constat n’est guère plus encourageant : Un peu plus de 6 professionnels sur 10 a investi ou envisage d’investir moins de 1 000 euros dans la sécurité informatique, toutes briques confondues (IOT – antivirus – sécurité des postes de travail). Seuls 46 % des professionnels ont investi dans la sécurité de leurs postes de travail.
Constat identique pour les deux cibles, l’investissement est majoritairement engagé dans un antivirus (66 % professionnels – 49 % particuliers).
« Les chiffres ne sont pas surprenants. Nous sommes tous les jours confrontés à la question de l’antivirus, tant auprès des particuliers que des entreprises. L’antivirus apparaît comme la solution miracle à la sécurité informatique. S’il est un outil indispensable, il ne s’agit que d’un des outils de sécurité, il ne peut être à lui seul un rempart efficace. » rappelle Benoit Meulin, consultant chez F-Secure France.
Sur l’ensemble des sondés, particuliers comme professionnels, le constat est identique ceux qui n’ont pas déjà investi n’envisagent pas de le faire dans les prochains mois.
Un effort à accentuer sur la cible particuliers ?
Les dirigeants d’entreprises s’accordent pour dire à 64 % (dont 74 % estiment la probabilité pour leur entreprise d’être visée par une cyberattaque élevée) qu’ils sont bien informés sur les différentes manières de protéger leurs entreprises en cas de cyberattaque.
On observe que la majorité des professionnels (90 %) se tiennent informés des cyberattaques qui touchent les entreprises sans pour autant se sentir en danger imminent. En effet, 64 % d’entre eux estiment que leur entreprise et salariés sont suffisamment protégés contre une cyberattaque. La certitude est moins nette en ce qui concerne les fournisseurs puisqu’ils sont 42 % à estimer qu’il y a une probabilité « élevée » de risque de cyberattaque.
« Ce constat n’est pas surprenant dans la mesure où les organes d’États tels que l’ANSSI ou encore la CNIL ont produit ces dernières années de nombreux contenus visant spécifiquement à sensibiliser, mais également à protéger et prévenir le risque cyber envers les entreprises. L’information est donc à notre sens un élément acquis et plutôt bien orchestrée par le gouvernement français. La problématique réside davantage dans la question de la protection des entreprises. Les TPE / PME sont encore aujourd’hui trop loin de la prise de conscience des menaces qui pèsent sur elles. » affirme Guillaume Gamelin, Regional Vice-President de F-Secure France.
En revanche, les particuliers eux répondent par la négative à 62 %. Comme évoqué précédemment, leurs inquiétudes ne trouvent pas de réelles solutions ou d’informations concrètes sur les moyens de se protéger.
Guillaume Gamelin poursuit « en ce qui concerne les particuliers, la tâche est plus complexe. En effet, la crainte du piratage / vol de données personnelles est réelle mais elle nécessite une prise de conscience de la part des Français eux-mêmes et de leur rapport à la vie virtuelle. Nous pouvons protéger les organismes et entreprises recueillant ces données personnelles, mais pour éviter une fuite le mieux est encore de ne pas partager ces données sur des sites non sécurisés… Je pense donc que les Français estiment ne pas être informés sur les moyens de se protéger car la protection passe avant tout par leur responsabilisation face aux réseaux sociaux par exemple. »
Kaseya : un nouveau SolarWinds ?
C’est une cyberattaque particulièrement inquiétante qui pourrait affecter plusieurs milliers d’entreprises, jusqu’à un million clament certains experts. Utilisant comme point d’entrée la solution de monitoring VSA, fournie par l’Américain Kaseya, le ransomware REvil progresse par rebonds. Difficile pour l’heure d’estimer l’ampleur de cette campagne.
C’est une cyberattaque de grande ampleur qui se déroule depuis vendredi dernier. Un ransomware a frappé Kaseya, un éditeur de solutions ITSM, le week-end du 4 juillet. Une date qui ne doit sans doute rien au hasard : fête nationale oblige, de nombreux travailleurs aux États-Unis profitent de quelques jours de repos... Un moment idéal pour un attaquant. Toujours sur cette question de timing, le 2 juillet le Dutch Institute for Vulnerability Disclosure (DIVD) a notifié Kaseya de l’existence d’une faille critique dans les versions on-premise de VSA. C’est cette même faille qui a été exploitée pour compromettre l’outil de monitoring.
DoublePulsar a livré une description détaillée de la méthode par laquelle le ransomware se répand aux clients de VSA, « via une fausse mise à jour logicielle automatisée à l'aide de Kaseya VSA. L'attaquant arrête immédiatement l'accès administrateur au VSA, puis ajoute une tâche appelée « Kaseya VSA Agent Hot-fix ». Cette fausse mise à jour est ensuite déployée dans tout le domaine, y compris sur les systèmes des clients clients MSP, car il s'agit d'une fausse mise à jour de l'agent de gestion. Cette mise à jour de l'agent de gestion est en fait le ransomware REvil ».
Supply chain attack
Car Kaseya n’est pas la seule victime. C’est même le point d’entrée de REvil vers de nombreuses organisations. VSA, un outil de gestion et de supervision des endpoints à distance, n’est pas commercialisé seulement à des équipes informatiques internes, mais aussi à des MSP (Managed Services Providers), ce qui implique que ne sont pas seulement affectés les clients de l'entreprise floridienne, mais aussi les clients de ses clients. D'où cette estimation de la part d'Huntress Lab, une société de cybersécurité qui mène de son côté sa propre enquête, d'un millier d'organisations victimes de cette attaque, quand Kaseya ne recense qu'une quarantaine de ses clients affectés.
Certains, l’attaquant en tête, vont jusqu’à prétendre qu’un million de systèmes seraient infectés. Difficile pour l'heure de connaître avec exactitude l'ampleur de l'attaque ou le nombre de victimes. On sait que Coop Suède, l'une des principales chaînes de supermarchés suédoises, a été atteinte et a dû fermer 800 magasins. La presse néerlandaise évoque également au moins une entreprise affectée aux Pays-Bas. De son côté, le DIVD a précisé qu’en 48 heures, « le nombre d'instances Kaseya VSA accessibles depuis Internet est passé de plus de 2 200 à moins de 140 ». Moult instances ont donc été mises hors ligne, suivant les recommandations de Kaseya, mais combien d’entre elles sont infectées ? Et surtout REvil a-t-il comme à son habitude exfiltré les données des systèmes attaqués avant de les chiffrer ?
Déjà-vu
Dès qu’il a eu connaissance de cette attaque vendredi, l’éditeur de VSA a immédiatement arrêté ses serveurs SaaS par mesure de précaution et a notifié ses clients on-prem pour qu’ils mettent hors ligne leurs serveurs. Cette supply chain attack, si elle évoque des techniques d'APT, ne doit pas faire oublier que, dès 2017, les groupes de ransomwares avaient recours à ce genre de procédés. Ce fut le cas notamment de NotPetya, qui avait eu pour vecteur d'infection une mise à jour d'un logiciel ukrainien de comptabilité. On se rappelle également de Solarwinds, dont l’exploitation des vulnérabilités avaient permis l’espionnage de nombreuses organisations utilisatrices de sa solution Orion.
Ici, c'est un groupe affilié au ransomware REvil qui est mis en cause selon Huntress Lab, se fondant pour cette attribution sur le message de demande de rançon ainsi que sur la méthode d'attaques. The Record indique avoir repéré sur le Dark Web une publication du groupe derrière REvil revendiquant l’attaque et exigeant 70 millions de dollars en échange des clés de déchiffrement.
Ce week-end, Kayesa insistait sur la nécessité pour tous les serveurs VSA sur site de continuer à rester hors ligne jusqu’à nouvel ordre. L’entreprise, qui explique avoir fait appel à FireEye, indique que son équipe R&D « a répliqué le vecteur d'attaque et travaille à son atténuation » et avoir « commencé le processus de correction du code ». L’entreprise doit fournir ce jour un calendrier détaillé d’un retour progressif à la normale, martelant que ses clients SaaS n’ont rien à craindre.
Qui blâmer ?
Le FBI et le CISA, équivalent américain de notre ANSSI, sont eux aussi dans la boucle, et l’attaque est remonté jusqu’aux oreilles de Joe Biden qui a déclaré que, si l’attaque devait avoir été commanditée par, ou être en lien avec les autorités russes, « nous répondrons ». Car REvil, également connu sous le nom de Sodinokibi, est supposément lié à la Russie, puisqu’il n’attaque pas les Etats de la CEI. Toutefois, REvil n’est que la souche, probablement héritier de GrandCrab, et est fourni en tant que Ransomware as a Service. Impossible donc, au stade actuel de l’enquête, de pointer du doigt un opérateur précis.
Outre l’attribution se posera inévitablement, comme pour Solarwinds, la question des responsabilités. Le DVID n’a pas manqué d’être pointé du doigt : l’attaque a été détectée le jour où l’institut néerlandais a communiqué les détails de cette faille à Kaseya. Le Dutch Institute for Vulnerability Disclosure assure pourtant que « oui, nous avons signalé ces vulnérabilités à Kaseya dans le cadre des directives de divulgation responsable (c'est-à-dire divulgation coordonnée des vulnérabilités) ». Et de souligner que l’entreprise sise en Floride a été « très coopérative », posant « les bonnes questions » et « prête à déployer le maximum d'efforts et d'initiatives dans cette affaire, à la fois pour résoudre ce problème et pour corriger ses clients ».
MàJ 05/07 - 12h03 : Selon Ross McKerchar, CISO de Sophos, « les éléments que nous avons recueillis montrent que plus de 70 fournisseurs MSP ont été impactés, entrainant des conséquences sur plus de 350 entreprises. Selon nos estimations, le nombre total d’entreprises touchées devrait être supérieur à ceux avancés par l’ensemble des spécialistes de la sécurité ». L'entreprise britannique précise que la majeure partie des clients impactés se trouvent aux États-Unis, en Allemagne et au Canada, et dans une moindre mesure en Australie, au Royaume-Uni ainsi que dans d’autres zones géographiques.
Villepinte victime d’un ransomware
Les services en ligne de la collectivité sont paralysés depuis le 30 juin. En cause, un problème technique qui est devenu ce week-end une attaque informatique, et plus précisément un ransomware relativement peu connu répondant au nom de Grief.
Villepinte ne répond plus. Sur son site, la mairie de cette ville de Seine-Saint-Denis indique que « suite à un problème technique, une grande partie des services municipaux seront difficilement joignables [...], par téléphone et courriel. Nous vous prions de nous excuser pour la gêne occasionnée ». Mais plus qu’un problème technique, c’est bien un ransomware qui affecte la collectivité.
Dans un communiqué publié le 2 juillet, la commune explique être victime d’une « importante attaque informatique » qui a pour conséquence de paralyser plusieurs services municipaux. « Actuellement, les outils informatiques ne sont plus opérationnels, tout est mis en œuvre pour retrouver un fonctionnement normal, et ce, le plus rapidement possible » ajoute la collectivité, qui précise travailler avec un « prestataire spécialisé dans la cyber sécurité ».
Un Grief contre Villepinte
Villepinte est la dernière victime de Grief. Le coupable s’est auto-désigné en revendiquant son méfait sur sa page (accessible via TOR), accompagnant son message d’un échantillon de données volées à Villepinte. Grief est encore peu connu : repéré début juin, il compte à son tableau de chasse une dizaine de victimes, principalement de l’autre côté de l’Atlantique à l’instar de la Vicksburg Warren School dans le Mississipi ou encore du Comté de Mobile, en Alabama, mais aussi, plus proche de nous, la Comune di Porto Sant’Elpidio, en Italie.
Villepinte a depuis mis en place une adresse gmail de substitution, tandis que les services d’état-civil et d’accueil physique restent assurés. « Les services municipaux ont su réagir immédiatement afin de limiter les effets de cette attaque » précise la mairie. Néanmoins, elle précisait sur Twitter que, « suite à un problème technique », les terminaux bancaires de la piscine municipale ne fonctionnaient plus. Ce qui laisse entendre que l’impact de l’attaque n’est finalement pas si limité.
PrintNightmare mérite bien son nom
CVE-2021-1675 était à ses débuts une petite vulnérabilité de sévérité modérée, affectant le gestionnaire des tâches d’impression de Windows, dont l’exploitation ne pouvait se faire que via un accès local. Microsoft a d’ailleurs publié un correctif dédié dans son Patch Tuesday. Jusqu’à ce que des chercheurs remarquent que cette faille n’était pas si anodine...
Lors du dernier patch Tuesday, on a pu constater que Microsoft corrigeait une vulnérabilité, CVE-2021-1675, affectant le Print Spooler de Windows, soit le gestionnaire des tâches d’impression du système d’exploitation. Rien de critique, la faille permet une élévation de privilèges pour un attaquant qui aurait un accès local au terminal.
En soi, CVE-2021-1675 n’avait rien d’effrayant. Et puis Redmond venait de la corriger, n’est-ce pas ? Sauf que des chercheurs en sécurité publient le jour même un exploit de ladite faille, montrant qu’elle est autrement plus grave qu’annoncé puisqu’elle permet une exécution de code à distance entraînant une élévation de privilèges avec les droits SYSTEM. Et ce quand bien même elle est patcheé. Correctifs incomplets s’écrie-t-on bien vite. La faille est alors rebaptisée : PrintNightmare.
La faille derrière la faille
Sauf que certains y sont allés un peu vite en besogne. En effet, CVE-2021-1675 était bel et bien corrigé, et ne permet qu’une exploitation locale. Contrairement à CVE-2021-34527, qui était caché juste derrière et a fait hier l’objet d’une alerte de Microsoft. C’est bien cette seconde vulnérabilité que les chercheurs ont exploitée, et elle est autrement plus critique.
CERT-FR explique que « des codes d'exploitation sont publiquement disponibles sur Internet, ce qui signifie que l’exploitation de cette vulnérabilité est imminente ou déjà en cours ». Ce qui est inquiétant, d’autant que le service concerné est activé par défaut sur tout système Windows. Ces codes utilisent la fonction de téléversement d’un pilote pour installer du code malveillant, explique le CERT.
« En particulier, au sein d'un système d'information Microsoft, les contrôleurs de domaine Active Directory sont particulièrement exposés, puisqu'un attaquant, ayant préalablement compromis un poste utilisateur, pourra in fine obtenir les droits et privilèges de niveau "administrateur de domaine" Active Directory » poursuit-il. Et soudain, la vulnérabilité modérée se change en cauchemar.