Des attaquants utilisent des sociétés d'infogérance pour déployer des malwares chez leurs clients

La gestion du système d’information d’une entreprise n’est pas une tâche aisée. C’est la raison pour laquelle de nombreuses entreprises externalisent cette gestion auprès de sociétés d’infogérance.

Ces dernières se retrouvent chargées d’effectuer la maintenance logicielle et matérielle des parcs informatiques de leurs clients, faisant d’elles des cibles de choix pour les attaquants.

La semaine dernière, un utilisateur du site Reddit a annoncé avoir observé le déploiement du ransomware Sodinokibi par l’antivirus Kaseya. De plus amples investigations ont permis de déterminer que le ransomware avait été déployé au travers de la console d’administration à distance de l’antivirus SecureAnywhere édité par Webroot.

Les attaquants ont compromis le système d’information des sociétés d’infogérance via RDP (Remote Desktop Protocol), le service Windows permettant de contrôler une machine à distance. Une fois cette attaque réussie, ils ont cherché des comptes pouvant utiliser SecureAnywhere pour se connecter au système d’information des victimes. La console à distance de SecureAnywhere permet à l’opérateur de télécharger des fichiers et d’exécuter des commandes. Les attaquants n’ont alors eu aucune difficulté à télécharger et exécuter le ransomware Sodinokibi sur les postes des victimes.

Pour corriger le problème, Webroot a publié une mise à jour rendant obligatoire l’authentification à double facteur.

Face au durcissement des systèmes d’information des entreprises, les attaquants ciblent de plus en plus leurs prestataires pour rebondir vers leurs victimes depuis des réseaux de confiance.


Références

https://www.zdnet.com/article/ransomware-gang-hacks-msps-to-deploy-ransomware-on-customer-systems/
https://old.reddit.com/r/msp/comments/c2wls0/kaseya_weaponized_to_deliver_sodinokibi_ransomware/

CERT-XMCO

Découvrir d'autres articles