Ne jamais sous-estimer les cybecriminels. Cet adage s’applique parfaitement au gang REvil, alias Sodinokibi. Connu pour diffuser le ransomware éponyme et faire de nombreuses victimes, il a réussi en fin de semaine à mener une campagne auprès de centaines voir de milliers d’entreprises notamment aux Etats-Unis (veille d'un week-end de 3 jours pour cause de fête nationale). Tout démarre par une faille critique dans VSA, la solution de RMM (Remote Monitoring Management) de Kaseya, un éditeur spécialisé dans l'intégration de briques technologiques issues de rachats. Un outil de supervision particulièrement prisé par les MSP (fournisseur de services managés) et utilisé auprès des PME-PMI ne disposant pas d’équipes IT importantes.
La faille a été découverte par des chercheurs en sécurité du DIVD (l’institut néerlandais de découvertes des vulnérabilités). Averti, Kaseya était en train de valider le correctif pour le déployer auprès de ses clients. Mauvais timing ou erreur, toujours est-il que le gang REvil a réussi à obtenir des informations sur la faille critique et l’a utilisée dans une campagne massive contre les MSP de l’éditeur irlandais et leurs clients.
Plusieurs milliers d’entreprises touchées, des rançons multiples
Et effectivement les clients ont été touchés comme l’indique John Hammond de Huntress Lab à nos confrères de Bleepingcomputer, « nous suivons 20 MSP où Kaseya VSA a été utilisé pour chiffrer plus de 1 000 entreprises et nous travaillons en étroite collaboration avec six d'entre eux ». John Hammond et Mark Loman de Sophos ont donné quelques éléments sur la façon dont REvil a mené son attaque. Concrètement, VSA dépose un fichier agent .crt dans le dossier c:\kworking, qui est distribué sous la forme d'une mise à jour appelée "Kaseya VSA Agent Hot-fix".
Une commande PowerShell est alors lancée qui désactive en premier lieu diverses fonctions de sécurité de Microsoft Defender, telles que la surveillance en temps réel, l'accès contrôlé aux dossiers, l'analyse des scripts et la protection du réseau. Elle décode ensuite le fichier agent.crt à l'aide de la commande légitime Windows certutil.exe pour extraire un fichier agent.exe dans le même dossier, qui est ensuite lancé pour commencer le processus de chiffrement. L'agent.exe est signé à l'aide d'un certificat « PB03 TRANSPORT LTD » et comprend un fichier intégré « MsMpEng.exe » et « mpsvc.dll », la DLL étant le chiffreur de REvil. Une fois extraits, les fichiers 'MsMpEng.exe' et 'mpsvc.dll' sont placés dans le dossier C:\Windows. Les experts ont partagé des IoC sur Reddit.
Dans les échantillons analysés par les experts en sécurité, le montant des rançons était aléatoire. Il pouvait aller de 5 millions de dollars à 45 000 dollars en cryptomonnaies. La question est de savoir si REvil a suivi son modus operandi, c’est-à-dire d’extraire les données avant de les chiffrer.
A qui la faute ?
Dans un billet de blog, Victor Gevers, membre du DIVD a indiqué, « après cette crise, il y aura des questions sur qui est à blâmer. De notre côté, nous aimerions souligner que Kaseya a été très coopératif. Dès qu’il a eu connaissance des vulnérabilités, nous avons été en contact et la coopération a été constante. Quand des éléments de notre rapport n’étaient pas clairs, ils ont posé les bonnes questions. » Il ajoute, « ils ont montré un véritable engagement à faire ce qui était le mieux. Malheureusement, nous avons été battus par REvil dans le sprint final, car ils ont pu exploiter les failles avant que les clients ne puissent patcher leurs serveurs ». Reste que l’on sait peut de chose sur cette brèche critique. Elle a été découverte par le chercheur Wietse Boonstra et a reçu la référence CVE-2021-30116. Selon Victor Gevers, « les délais de divulgation ont été respectés et correspondaient au standard du secteur ». De plus amples informations devraient être fournies prochainement.
140 serveurs VSA encore exposés
Dans cette affaire, qui a surpris par la connaissance avancée des cybercriminels, la réponse devait être elle aussi rapide. Ainsi, les chercheurs du DIVD ont fourni à Kaseya une liste d’adresses IP et d’identifiants des clients VSA accessibles pour mettre les serveurs hors-ligne. Cette initiative a permis de diminuer de manière spectaculaire l’exposition de serveurs avec seulement 140 serveurs encore accessibles dimanche. Toujours selon Victor Gevers, « au cours des dernières 48h, le nombre d’instances VSA de Kaseya exposés est passé de plus de 2 200 à moins de 140 dans notre dernière analyse ».
Pour l’éditeur irlandais, cet effort porte ses fruits en rapportant un seul serveur VSA sur site compromis. Par souci de sécurité, il avait mis hors ligne la plateforme SaaS qui « n’a jamais été touchée », précise-t-il. Cette attaque via le support n’est pas sans rappeler celle de SolarWinds et montre l’importance de renforcer la sécurité sur les prestataires de services et les bureaux d’étude. Surtout si les gangs de ransomwares s’invitent dans la danse…