Le week-end a été mouvementé pour les spécialistes de la sécurité. Vendredi soir, une cyberattaque massive a été menée contre des fournisseurs de services managés et leurs clients. Les pirates se sont servis d’une faille non corrigée dans la solution VSA de Kaseya, un éditeur spécialisé dans l’intégration de briques technologiques issues de rachat. Derrière cette vaste offensive par supply chain, les regards se sont tournés vers le gang REvil, alias Sodinokibi et proche de la Russie. Le président des Etats-Unis, Joe Biden, a demandé samedi aux agences fédérales d’enquêter sur l’identité réelle des attaquants. Il a indiqué « nous ne sommes pas certains de qui est derrière les attaques » et d’ajouter « nous avons d'abord pensé qu'il ne s'agissait pas du gouvernement russe, mais nous n'en sommes pas encore certains ».

Aujourd’hui, le gang REvil vient de lancer un pavé dans la mare en réclamant 70 millions de dollars pour fournir un déchiffreur universel et permettre aux victimes de récupérer leurs fichiers. Il s’agit d’une somme record pour une rançon. Le même groupe avait demandé 50 millions de dollars lors de la cyberattaque sur Acer. Dans le cadre de Kaseya, les sommes initialement réclamées variaient de 45 000 dollars par entreprises ciblées à 5 M$ pour les MSP. Dans son message, le gang REvil revendique 1 million de systèmes infectés.

Le flou concernant le nombre d’entreprises impactées

Le problème est de savoir combien d’entreprises ont été touchées. Dans les premières heures de la cyberattaque, une société de cybersécurité évoquait un millier d’entreprises affectées via une vingtaine de MSP. Pour Sophos, « les éléments que nous avons recueillis montrent que plus de 70 fournisseurs MSP ont été impactés, entrainant des conséquences sur plus de 350 entreprises. ». Le spécialiste ajoute « les victimes sont réparties dans de nombreuses régions du monde : la plupart sont situées aux États-Unis, en Allemagne et au Canada ; les autres sont implantées en Australie, au Royaume-Uni, ainsi que dans d’autres zones géographiques. » De son côté Kaseya a indiqué qu’une soixantaine de clients avait été impactée.

En tout cas, les premières victimes sont visibles. La chaîne suédoise de supermarchés Coop a annoncé la fermeture de 500 magasins (sur 800) à la suite d’une attaque touchant les caisses enregistreuses. Elle a été menée via le MSP suédois Vissma Esscom qui gère le caisses et les bornes de paiements du distributeur. Le MSP a confirmé avoir été touché par la cyberattaque de Kaseya qui a permis au ransomware REvil de chiffrer les systèmes de ses clients. Potentiellement Vissma Esscom compte 1 million de clients. Cette attaque par supply chain n’a pas fini de dévoiler l’étendu des dégâts qui pourraient être particulièrement lourds dans le tissu PME-PMI.