Kaseya met en garde contre une campagne d’hameçonnage déployant de fausses mises à jour de sécurité

0

Kaseya a averti ses clients qu’une campagne d’hameçonnage en cours tente de pénétrer leurs réseaux en envoyant des e-mails indésirables contenant des pièces jointes malveillantes et des liens intégrés se faisant passer pour des mises à jour de sécurité légitimes de VSA.

« Les spammeurs utilisent les informations sur l’incident de Kaseya pour envoyer de fausses notifications par e-mail qui semblent être des mises à jour de Kaseya. Ce sont des e-mails d’hameçonnage qui peuvent contenir des liens et/ou des pièces jointes malveillants », a déclaré la société dans une alerte publiée la semaine dernière.

« Ne cliquez sur aucun lien et ne téléchargez aucune pièce jointe prétendant être un avis de Kaseya. À l’avenir, les mises à jour par courrier électronique de Kaseya ne contiendront aucun lien ni pièce jointe. »

Les attaquants tentent de mettre des portes dérobées sur les systèmes des destinataires

Bien que la société n’ait pas fourni de détails supplémentaires concernant ces attaques, l’avertissement correspond parfaitement à une autre série d’e-mails malveillants ciblant les clients de Kaseya avec des charges utiles Cobalt Strike.

Les chercheurs de Malwarebytes Threat Intelligence ont récemment découvert une série d’attaques d’hameçonnage essayant de tirer parti de la crise actuelle des ransomwares ciblant Kaseya.

« Une campagne de malspam profite de l’attaque du ransomware sur les VSA de Kaseya pour propager Cobalt Strike », ont déclaré les chercheurs de Malwarebytes.

« Il contient une pièce jointe nommée ‘SecurityUpdates.exe’ ainsi qu’un lien prétendant être une mise à jour de sécurité de Microsoft pour corriger la vulnérabilité Kaseya! »

kaseya
Exemple d’e-mail d’hameçonnage Kaseya (Malwarebytes)

L’objectif final des attaquants est de déployer des balises Cobalt Strike sur les appareils des destinataires pour les portes dérobées et voler des informations sensibles ou fournir plus de charges utiles de logiciels malveillants.

Une fois que les cibles ont exécuté la pièce jointe malveillante ou téléchargé et exécuté la fausse mise à jour Microsoft sur leurs appareils, les attaquants obtiennent un accès à distance persistant aux systèmes désormais compromis.

En Juin, à la suite de l’attaque Colonial Pipeline, les acteurs malveillants ont également utilisé de fausses mises à jour de systèmes prétendant aider à bloquer les infections par ransomware.

Ces deux campagnes soulignent que les cybercriminels à l’origine des attaques d’hameçonnage se tiennent au courant des dernières nouvelles pour utiliser des leurres pertinents aux événements récents afin d’augmenter les taux de réussite de leurs campagnes.

Étant donné que Kaseya n’a jusqu’à présent pas réussi à déployer de correctif pour la faille zero-day de VSA exploitée par REvil, certains de ses clients pourraient tomber dans le piège de cette campagne dans leurs efforts pour protéger leurs réseaux contre les attaques.

La lumière au bout du tunnel

L’attaque très médiatisée du ransomware REvil qui a frappé Kaseya et environ 1 500 de leurs clients directs et entreprises en aval constitue un thème de leurre parfait.

Après la divulgation de l’attaque, la CISA et le FBI ont partagé des conseils sur la façon de faire face aux conséquences de l’attaque, et le Conseil de sécurité nationale de la Maison Blanche recommande aux victimes de suivre les conseils émis par Kaseya et de signaler les incidents au FBI.

Cependant, malgré la portée massive de l’attaque, qui a conduit certains à l’appeler la plus grande attaque de ransomware jamais réalisée, plusieurs victimes ont déclaré que leurs sauvegardes n’avaient pas été affectées et qu’elles restauraient les systèmes plutôt que de payer la rançon.

Les victimes qui paient finalement les rançons de REvil ne le feront probablement que parce que leurs sauvegardes ont échoué ou qu’elles n’avaient pas de sauvegardes.

N’oubliez pas de jeter un œil à nos bons plans.

Laisser un commentaire