Cybersécurité : nouveau coup de tocsin pour les prestataires de services managés
La jeune pousse Huntress Labs vient de suivre trois incidents où les ordinateurs de clients de prestataires d’infogérance ont été compromis par ransomware, via des outils d’administration à distance.
La console d’administration Webroot utilisée par plusieurs prestataires d’infogérance apparaît avoir été détournée tout récemment, au moins outre-Atlantique, pour déployer le rançongiciel Sodinokibi sur les systèmes de leurs clients. C’est du moins ce qui ressort de plusieurs échanges sur Reddit, impliquant notamment la jeune pousse Huntress Labs.
Ses équipes indiquent ainsi avoir enquêté sur plusieurs cas, jusqu’à aboutir à une conclusion : « la console d’administration de Webroot a été utilisée pour exécuter une charge Powershell afin de télécharger un malware additionnel à partir de Pastebin ». L’éditeur a réagi en adressant à nombre de ses clients un message d’information relatif à l’activation forcée de « sa forme d’authentification à double facteur » sur toutes les consoles d’administration de ses clients. Chad Bacher, vice-président sénior de Webroot en charge des produits, est lui-même intervenu sur Reddit, non sans recevoir une aimable volée de bois vert quant à l’approche de l’authentification à double facteur (2FA) de l’éditeur.
Mais Webroot n’est pas le seul concerné. Toujours selon Huntress Labs, Kaseya VSA a également été détourné par des attaquants afin de déployer Sodinokibi. Mais dans les deux cas, il n’a pas été question d’exploitation de vulnérabilités, simplement de compromission d’identifiants. Dans plusieurs cas, les outils d’administration semblent avoir été utilisés pour désactiver le système de protection des postes de travail compromis, de même que les agents de sauvegarde, signés Veeam dans deux cas.
Mais c’est loin d’être une première. Plus tôt cette année, des cyber-délinquants se sont déjà illustrés par le détournement d’une extension conçue pour synchroniser des données entre ConnectWise et Kaseya VSA, pour déployer le ransomware Gandcrab. Et c’est sans compter avec les incidents ayant affecté Altran, fin janvier, et Wipro, mi-avril.