Numéro : AL21-013 – MISE À JOUR 1
Date : 5 juillet 2021
Mise à jour : 12 juillet 2021
AUDITOIRE
La présente alerte s’adresse aux professionnels et aux gestionnaires des TI œuvrant au sein des organismes avisés.
OBJET
Une alerte a pour objet de prévenir les destinataires que des cybermenaces ont été relevées récemment et que celles-ci pourraient toucher les biens d’information électronique. Elle vise également à leur fournir des conseils supplémentaires en matière de détection et d’atténuation. Le Centre canadien pour la cybersécurité (Centre pour la cybersécurité) tente d’obtenir de l’information en vue d’évaluer l’incidence de ces cybermenaces au Canada et d’aider les organisations canadiennes à intervenir si elles sont confrontées à une telle activité malveillante. On invite les destinataires à signaler les incidents au Centre pour la cybersécurité par l’entremise de Mon cyberportail, ou à communiquer avec le Centre pour la cybersécurité par courriel (contact@cyber.gc.ca), ou par téléphone (1-833-CYBER-88 ou 1-833-292-3788) s’ils relèvent des activités similaires à ce qui est présenté dans la présente alerte. Par ailleurs, le Centre pour la cybersécurité recommande fortement aux organisations de signaler toute activité malveillante liée à cette alerte au service de police de leur région.
VUE D’ENSEMBLE
Le Centre pour la cybersécurité a été informé qu’un rapport de source ouverte [1][2] décrit un cyberincident à grande échelle causé par le rançongiciel REvil (également connu sous le nom de Sodinokibi) qui vise plusieurs fournisseurs de services gérés (FSG) utilisant l’appliance de sécurité virtuelle (ASV) Kaseya, une plateforme de télégestion et de télésurveillance [3].
DÉTAILS
Le 2 juillet 2021, des chercheurs ont signalé qu’un rançongiciel avait été enregistré dans un répertoire de travail de plusieurs serveurs locaux exécutant l’ASV Kaseya, une plateforme de télésurveillance et de télégestion utilisée par de nombreux FSG. Des auteurs de menace ont été en mesure de déployer à l’échelle le rançongiciel dans l’ensemble des FSG, jusqu’aux organisations hébergées, en injectant du code malveillant dans les produits et en tirant avantage de leurs fonctions natives.
L’ASV est offerte sous forme de logiciel-service (SaaS pour Software-as-a-Service) et de mise en œuvre locale. Le fournisseur a désactivé le SaaS et le réactivera lorsque la situation aura été corrigée. L’entreprise a indiqué que l’application des correctifs sur les serveurs d’ASV locaux sera effectuée après la reprise des services du SaaS.
L’activité, qui a touché environ 30 FSG [2], a donné lieu au chiffrement des fichiers de plus d’un millier d’entreprises. Elle a fait des victimes dans plusieurs pays, dont le Canada.
ATTÉNUATION
Pour les FOURNISSEURS de services gérés :
- Tous les serveurs d’ASV locaux devraient rester hors ligne [3] jusqu’à ce que Kaseya indique qu’il est possible de rétablir les services en toute sécurité;
- Le Centre pour la cybersécurité recommande au FSG de télécharger l’outil de détection d’ASV de Kaseya. [4] L’outil analyse un système (qu’il s’agisse d’un serveur d’ASV ou d’un point d’extrémité géré) et détermine s’il contient un ou plusieurs des indicateurs de compromission (IC);
- Dans le cas des services accessibles aux clients, il convient d’exiger une authentification multifacteur pour tous les comptes contrôlés par l’organisation, dans la mesure du possible;
- Une liste des fonctions autorisées devrait être mise en œuvre pour limiter les communications entre les capacités de télésurveillance et de télégestion (RMM pour Remote monitoring and management) et des paires d’adresses IP connues;
- Il convient de placer les interfaces d’administration de RMM derrière un réseau privé virtuel (RPV) ou un pare-feu sur un réseau administratif dédié;
- Consulter la page Web de Kaseya consacrée aux correctifs pour connaître la date de diffusion des correctifs permettant de corriger les vulnérabilités liées à la compromission des clients locaux. [3]
Pour les CLIENTS de services gérés :
Les clients touchés par cette activité doivent prendre des mesures sans tarder et mettre en œuvre les pratiques exemplaires suivantes en matière de cybersécurité. Remarque : Ces mesures sont particulièrement importantes pour les clients de FSG dont les services de RMM ont été désactivés en raison de l’incident lié à Kaseya :
- S’assurer que les sauvegardes sont à jour et stockées dans un emplacement facilement accessible qui est isolé du réseau de l’organisation;
- Dans la mesure du possible, faire appel à un processus de gestion des correctifs manuel qui respecte les directives du fournisseur en ce qui concerne la prise de mesures correctives, ce qui comprend l’installation des nouveaux correctifs dès leur diffusion;
- Exiger une authentification multifacteur;
- Respecter le principe de droit d’accès minimal pour ce qui a trait aux comptes d’administrateur des principales ressources réseau.
Pour des conseils et de l’orientation sur la reprise des activités suivant un cyberincident causé par un rançongiciel, prière de consulter la publication du Centre pour la sécurité intitulée Rançongiciels : Comment les prévenir et s’en remettre (ITSAP.00.099). [5]
INDICATEURS
Le Centre pour la cybersécurité est au courant des indicateurs de source ouverte associés à l’incident en cours et les fournit tels quels à des fins de sensibilisation [6][7]. Comme il n’a pas vérifié les détails techniques mentionnés dans le bulletin en question, le Centre pour la cybersécurité recommande de vérifier les exigences relatives aux services d’entreprise avant de procéder à leur mise en œuvre.
MISE À JOUR 1
Le 11 juillet 2021, l’entreprise Kaseya a mis à jour son site Web [3] pour indiquer qu’elle avait publié un correctif [8] à l’intention des clients d’ASV locaux et qu’elle avait entrepris le déploiement du correctif [8] à l’infrastructure SaaS d’ASV avant l’heure visée, soit 16 h HAE le 11 juillet 2021. Le 12 juillet 2021, l’entreprise a annoncé que le service à la clientèle SaaS était rétabli, et que les clients disposant d’un déploiement local étaient à appliquer le correctif.
Le Centre pour la cybersécurité a été informé aussi de l’existence de pourriels contenant des pièces jointes et des liens vers des maliciels donnant faussement l’impression d’être des « correctifs » pour l’ASV de Kaseya. Le maliciel contiendrait [9] des composantes de Cobalt Strike, une boîte à outils post-compromission légitime pour les tests de pénétration souvent utilisée par des auteurs malveillants, et qui active une porte dérobée dans l’hôte touché. Kaseya a déclaré [3] qu’elle n’a pas demandé à ses partenaires de communiquer avec les clients, que toute communication semblant provenir d’un partenaire est probablement frauduleuse, et que les courriels qu’elle achemine ne contiendraient ni pièce jointe ni lien.
Kaseya a fourni un guide de renforcement de la sécurité et un runbook de démarrage pour le SaaS [10][11] et les installations locales [12][13].
RÉFÉRENCES
[1] Kaseya management software being used to deploy ransomware(en anglais seulement)
[2] Publication Reddit de Huntress Labs (en anglais seulement)
[3] Mise à jour de Kaseya au sujet de l’incident (en anglais seulement)
[4] Outil de détection de Kaseya (en anglais seulement)
[5] Rançongiciels : comment les prévenir et s’en remettre (ITSAP.00.099)
[6] Sophos Kaseya VSA Supply-Chain Ransomware Attack (en anglais seulement)
[7] REvil Kaseya Attack CNCs (en anglais seulement)
[8] VSA SaaS and On-Premise Release Notes(en anglais seulement)
[9] Malwarebytes Threat Intelligence
[10] VSA SaaS Startup Runbook (en anglais seulement)
[11] VSA SaaS Hardening and Best Practice Guide (en anglais seulement)
[12] On Premises Startup Runbook (en anglais seulement)
[13] VSA On-Premise Hardening and Practice Guide (en anglais seulement)
NOTE AUX LECTEURS
Le Centre canadien pour la cybersécurité (Centre pour la cybersécurité) mène ses activités sous l’égide du Centre de la sécurité des télécommunications. Il constitue l’autorité canadienne en matière de cybersécurité et dirige les interventions du gouvernement lors d’événements liés à la cybersécurité. Le personnel du Centre pour la cybersécurité agit à titre d’équipe nationale d’intervention en cas d’incident lié à la sécurité informatique et travaille étroitement avec les ministères, les propriétaires et exploitants d’infrastructures essentielles, les entreprises canadiennes et des partenaires internationaux pour intervenir en cas d’incident de cybersécurité ou pour atténuer les conséquences qui en découlent. C’est dans cette optique que nous prodiguons des conseils d’experts et offrons un soutien de premier plan, et que nous coordonnons la diffusion de l’information pertinente ainsi que les interventions en cas d’incident. Le Centre pour la cybersécurité est à l’écoute des entités externes et favorise les partenariats visant à créer un cyberespace canadien fort et résilient.