Comment, en une opération, Revil fait sauter les compteurs de cyberattaques

Nous avions compté plus de 1 600 attaques avec ransomware en 2020. Au premier juillet, nous en étions à environ 1 500. Ce chiffre a été largement dépassé le lendemain, du fait des activités du gang REvil, avec le rançongiciel Sodinokibi.

L’un des affidés du groupe s’est en effet lancé dans une opération de grande ampleur : en exploitant une vulnérabilité affectant le service d’administration déportée VSA de Kaseya, il s’en est pris aux clients finaux de nombreux prestataires de services managés. Il assure avoir compromis plus d’un million de machines à travers le monde et demande 45 000 $ pour débloquer chacune d’entre elles. Il n’aurait pas pris le temps de dérober de données et propose un paiement global de 70 millions de dollars pour fournir de quoi déchiffrer les données de tous les hôtes affectés.

Dans des discussions privées, les assaillants ont toutefois revu leurs exigences à la baisse, à 40 000 $ pour débloquer une machine, ou 50 millions de dollars pour l'ensemble des hôtes bloqués. Peut-être ont-il réalisé, comme les chercheurs de Sophos, qu'ils avaient oublié d'effacer les snapshots de Windows, les Volume Shadow Copies, ouvrant la voie à des restaurations simplifiées.

Selon Huntress Labs, au moins une trentaine de prestataires de services managés aux États-Unis, en Australie, en Europe et en Amérique latine sont concernés, pour plus d’un millier d’entreprises. L’enseigne suédoise Coop fait partie des victimes et a dû fermer ses points de vente. Dans le pays, il faut aussi compter avec le pétrolier St1, SJ Rail, et les pharmacies Hjartat, notamment.

Au moins 11 écoles néo-zélandaises ont également été touchées. Selon nos informations, aucune victime française ne serait actuellement à déplorer. Eset n’a pas non plus observé de victime française, mais Malwarebytes assure en avoir vu.

Comme l’attaque Solarwinds, mais pour l’argent

Cette attaque rappelle l’opération conduite via les outils de Solarwinds et découverte à la fin de l’année dernière. À la différence que la première était motivée par l’espionnage et celle-ci par l’argent. La première opération a été conduite dans la discrétion ; la seconde a été lancée de manière tonitruante. Mais dans les deux cas, il s’agit d’une attaque par rebond, sur la chaîne logistique du logiciel.

Reste que ce type d’attaque n’est pas nouveau. En juin 2019, Huntress Labs expliquait avoir suivi trois incidents où les ordinateurs de clients de prestataires d’infogérance avaient été compromis par ransomware, via des outils d’administration à distance. Là, c’était la console d’administration Webroot, utilisée par plusieurs prestataires d’infogérance, qui apparaissait avoir été détournée pour déployer le rançongiciel Sodinokibi sur les systèmes de leurs clients.

Et l’on peut être tenté de voir là comme une signature du groupe REvil. Avant Sodinokibi, il est suspecté d’avoir utilisé le rançongiciel GandCrab. Et justement, celui-ci fut au moins une fois déployé en détournant une extension conçue pour synchroniser des données entre ConnectWise et Kaseya VSA.