(AFP) – La société américaine Kaseya, qui fournit un outil de gestion informatique à de nombreuses entreprises, a fait l’objet vendredi d’une cyberattaque ayant conduit à des demandes de rançons auprès de nombre de ses clients.
Kaseya a assuré vendredi soir avoir circonscrit l’attaque à un “très petit pourcentage” de ses clients utilisant le logiciel VSA, “actuellement estimé à moins de 40 dans le monde“. L’entreprise spécialisée dans la sécurité informatique Huntress Labs a affirmé plus tôt dans la journée que 200 entreprises avaient été affectées par ce ransomware.
Kaseya s’est rendue compte d’un possible incident sur son logiciel VSA à la mi-journée sur la côte est-américaine, juste avant un week-end prolongé par un jour férié lundi. “Par précaution“, elle a immédiatement fermé les serveurs dédiés aux clients utilisant ses services à distance, qui a priori ne sont pas à risque.
Elle a parallèlement “immédiatement prévenu ses clients avec son logiciel sur site par courriel, notice au sein du logiciel et par téléphone de fermer les serveurs liés au VSA afin qu’ils ne soient pas compromis“. “Nous pensons avoir identifié la source de la vulnérabilité et préparons un correctif”, affirme la société.
200 entreprises touchées selon Huntress Labs
Basée à Miami en Floride, Kaseya propose des outils informatiques aux petites et moyennes entreprises, dont l’outil VSA destiné à gérer leur réseau de serveurs, d’ordinateurs et d’imprimantes depuis une seule source. Elle revendique plus de 40 000 clients.
Selon Huntress Labs, “environ 200 entreprises ont été cryptées”. “Sur la base des modèles informatiques, des notes de rançongiciel et de l’URL TOR, nous pensons fermement” qu’un affilié au groupe de hackeurs connu sous le nom de Revel ou Sodinokibi “est à l’origine de ces intrusions“, indique Huntress Labs sur un message posté sur le forum Reddit.
Le FBI avait début juin attribué à ce groupe l’attaque informatique contre le géant mondial de la viande JBS qui avait paralysé pendant plusieurs jours ses activités en Amérique du Nord et en Australie.
Le CISA enquête
Les Etats-Unis sont frappés ces derniers mois par une vague de cyberattaques au rançongiciel frappant aussi bien des grandes entreprises comme JBS ou le gestionnaire d’oléoducs Colonial Pipeline, que des collectivités locales et des hôpitaux. Un grand nombre de ces attaques sont attribuées à des groupes de hackeurs basés en Russie et opérant au moins avec l’approbation tacite du Kremlin.
L’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a indiqué sur son propre site vendredi être en train d’agir “pour comprendre et régler la récente attaque au rançongiciel” contre l’outil VSA de Kaseya et les multiples fournisseurs de services de gestion informatique qui l’utilisent. Elle y “encourage les entreprises à suivre les conseils de Kaseya, notamment en suivant immédiatement leur procédure pour fermer les serveurs” liés au logiciel de Kaseya.