Le 2 juillet dernier est sortie l’information concernant la vaste attaque lancée par le gang de ransomware REvil contre les fournisseurs MSP et leurs clients dans le monde entier. Des milliers d’entreprises sont ainsi devenues des victimes potentielles du ransomware. A l’heure où l’on écrit ces lignes, les chercheurs de Kaspersky ont déjà identifiés plus de 5000 tentatives d’attaques en Europe ainsi qu’en Amérique du Nord et du Sud.
REvil (aka Sodinokibi) est l’un des opérateurs de ransomware-as-a-service (RaaS) les plus prolifiques. Il est apparu pour la première fois en 2019 et a fait la Une à de nombreuses reprises ces derniers mois, notamment à cause de ses cibles et des sommes records des rançons perçues. Dans l’attaque la plus récente, REvil a infecté un fournisseur de logiciel de Gestion informatique pour les MSP, ce qui a eu pour effet d’ affecter de nombreuses entreprises à travers le monde. Les attaquants ont déployé une charge utile malveillante via un script PowerShell qui, à son tour, a été vraisemblablement exécuté via le logiciel du fournisseur MSP.
Le script a désactivé les fonctionnalités de la protection Microsoft Defender for Endpoint et a ensuite décodé un exécutable malveillant qui comportait un système binaire Microsoft légitime, une ancienne version de la solution Microsoft Defender et une librairie malveillante contenant le ransomware REvil. En utilisant cette combinaison de composantes dans la machine, les attaquants ont été capables d’exploiter la technique DLL side-loading et d’attaquer un grand nombre d’organisations.
En utilisant son service de Threat Intelligence, Kasersky a observé plus de 5000 tentatives d’attaques dans 22 pays, dont les plus touchés sont l’Italie (45,2% des tentatives d’attaques enregistrées), les USA (25,91%), la Colombie (14,83%), l’Allemagne (3,21%) et le Mexique (2,21%)
« Les gangs de ransomwares et leurs affiliés continuent d’améliorer leur jeu après les attaques récentes très médiatisées sur Colonial Pipeline et JBS, et sur de nombreuses autres organisations à travers le monde depuis. Cette fois, les opérateurs REvil ont mené une attaque massive sur les MSP, affectant alors les milliers d’entreprises qu’ils gèrent à travers le monde. » commente Vladimir Kuskov, Head of Threat Exploration chez Kaspersky. « Ce cas montre une fois encore au combien il est important d’implémenter des mesures et des solutions de cybersécurité sur tous les points d’entrée de l’entreprise – y compris les partenaires et fournisseurs ».
D’après Communiqué