REvil et le week-end Kaseya

Le 2 juillet 2021, vendredi du long week-end de la fête nationale américaine, un groupe russophone de ransomware appelé REvil pousse une mise à jour malveillante à travers Kaseya VSA. VSA est un outil d’administration à distance utilisé par les MSP — ces infogérants qui font tourner les help desks et l’infrastructure de patch de dizaines de milliers de petites entreprises.

Une cascade par conception

Parce que VSA est utilisé par les MSP pour administrer leurs propres clients, la mise à jour malveillante se propage en cascade par la relation MSP. Un seul serveur VSA compromis pouvait pousser le ransomware à tous les environnements clients qu’il gérait. Le bilan final s’établit à environ mille cinq cents organisations clientes finales, dans des dizaines de pays — chaînes de supermarchés suédois, écoles néo-zélandaises, cabinets dentaires américains — dont beaucoup ignoraient totalement leur dépendance à Kaseya.

Une demande de rançon calibrée pour les gros titres

REvil exige initialement soixante-dix millions de dollars en bitcoins pour une clé de déchiffrement universelle, une ambition d’une ampleur sans précédent. En quelques semaines, l’infrastructure du groupe passe hors-ligne sous ce qui ressemble à une pression combinée de la diplomatie américaine et des forces de l’ordre russes. Un déchiffreur universel finit par être mis à disposition, et Kaseya n’a jamais confirmé publiquement l’avoir payé.

Ce que la chronique retient

Kaseya est le moment où la couche MSP d’internet est devenue visible comme un point d’étranglement stratégique. Les petites entreprises ne font pas tourner leurs propres opérations de sécurité. Elles les sous-traitent. Compromettre l’infogérant est radicalement plus efficace que compromettre un client à la fois, et Kaseya est l’étude de cas qui a mis ce calcul devant tout RSSI ayant sous-traité quoi que ce soit.