Une nouvelle campagne de phishing prétend offrir une mise à jour de sécurité pour le logiciel VSA de Kaseya, mais essaie en fait d’installer des logiciels malveillants, explique Malwarebytes.
Les cybercriminels profitent déjà de l’attaque de ransomware contre la société informatique Kaseya pour déployer des spams conçus pour infecter les ordinateurs avec des logiciels malveillants fournis par Cobalt Strike. Dans une mise à jour du 6 juillet sur un blog en cours et un tweet sur l’incident de Kaseya, la société de sécurité Malwarebytes a déclaré que son équipe Threat Intelligence avait détecté une campagne de spam malveillant exploitant l’attaque Kaseya VSA.
VOIR : Ransomware : ce que les professionnels de l’informatique doivent savoir (PDF gratuit) (TechRepublic)L’e-mail de phishing envoyé dans cette campagne prétend offrir un correctif pour la faille de sécurité de Kaseya, indiquant au destinataire : » Veuillez installer la mise à jour de Microsoft pour vous protéger contre les ransomwares dès que possible. Cela corrige une vulnérabilité dans Kaseya. » L’e-mail contient une pièce jointe nommée SecurityUpdates.exe. Mais quiconque tente d’exécuter le fichier joint sera traité à la place d’une dose de malware grâce à l’outil de test pénétrant Cobalt Strike.
Image : Malwarebytes
Conçu et conçu comme un programme de sécurité légitime, Cobalt Strike est utilisé par les organisations pour tester leur sécurité interne afin de rechercher les points faibles. Mais l’outil a de plus en plus été coopté par les cybercriminels pour déployer des charges utiles malveillantes sur les ordinateurs victimes. Le programme a été populaire parmi les principaux groupes de cybercriminalité et les groupes avancés de menaces persistantes, mais a récemment gagné en popularité parmi les criminels des produits de base. En règle générale, les attaquants téléchargent Cobalt Strike comme deuxième étape après le compromis initial. Mais dernièrement, il y a eu une augmentation des campagnes poussant Cobalt Strike comme première charge utile pour préparer le terrain pour l’attaque. Cette fausse mise à jour de Kaseaya est hébergée sur la même adresse IP utilisée pour une campagne précédente poussant le cheval de Troie bancaire Dridex, selon Jerome Segura, analyste principal du renseignement sur les logiciels malveillants pour Malwarebytes. Segura a déclaré que Malwarebytes avait vu le même acteur de menace derrière Dridex utiliser Cobalt Strike, mais n’a pas pu confirmer le groupe derrière cette nouvelle campagne. Le 3 juillet, Kaseya a révélé que son produit VSA avait été victime d’une attaque de ransomware. Utilisé par les fournisseurs de services gérés, le logiciel permet aux utilisateurs de surveiller et d’administrer à distance les services informatiques de leurs clients. Le ransomware exploite une vulnérabilité zero-day dans le logiciel VSA, fournissant la charge utile malveillante via une fausse mise à jour VSA.VOIR : Comment gérer les mots de passe : bonnes pratiques et conseils de sécurité (PDF gratuit) (TechRepublic)L’attaque a directement infecté moins de 60 clients Kaseya, qui exécutaient tous le produit VSA sur site. Cependant, un effet d’entraînement tout au long de la chaîne d’approvisionnement de Kaseya a signifié que ces systèmes infectés ont ensuite infecté les systèmes d’environ 1 500 clients, selon Kaseya. Le groupe de ransomware REvil a pris fièrement la responsabilité de l’attaque. Dans son propre « Happy Blog », le groupe a affirmé que plus d’un million de systèmes étaient infectés, selon la société de sécurité Sophos. REvil a également conçu une offre captivante pour toutes les victimes de l’attentat. En échange de 70 millions de dollars de bitcoins, le groupe publierait un décrypteur universel qui permettrait à toutes les entreprises concernées de récupérer leurs fichiers. Kaseya travaille sur un correctif pour corriger la vulnérabilité de son logiciel VSA. Mais la société a apparemment rencontré des problèmes. Tard mardi, Kaseya a révélé qu’un problème avait été découvert qui bloquait le lancement du correctif pendant le déploiement, repoussant le calendrier de sa publication. Dans une mise à jour de son blog, la société a annoncé qu’elle annoncerait la nouvelle disponibilité prévue du correctif avant 17 heures. Heure de l’Est le mercredi. « Les cybercriminels capitalisent régulièrement sur la panique résultant d’événements dignes d’intérêt », a déclaré Chris Clements, vice-président de l’architecture des solutions pour Cerberus Sentinel. « Nous l’avons vu avec les contrôles de relance COVID, la disponibilité des vaccins et maintenant avec l’attaque de la chaîne d’approvisionnement Kaseya. sont exacts avant d’ouvrir des pièces jointes ou de partager des informations sensibles. Les e-mails d’hameçonnage sont un jeu de chiffres avant de contourner un filtre de sécurité et d’arriver dans la boîte aux lettres d’un utilisateur, a ajouté Clements. « En tant que tel, il est essentiel d’avoir des couches de contrôles qui anticipent les défaillances d’autres contrôles. C’est là que la surveillance continue et la chasse proactive aux menaces brillent vraiment en offrant la capacité d’identifier les activités potentiellement suspectes qui parviennent à échapper aux défenses principales. »
Bulletin d’information sur la cybersécurité
Renforcez les défenses de sécurité informatique de votre organisation en vous tenant au courant des dernières nouvelles, solutions et meilleures pratiques en matière de cybersécurité.