Kaseya envisageait initialement de remettre en route ses machines lundi, mais la société a retardé à plusieurs reprises le moment où elle pensait pouvoir le faire en toute sécurité.
Dans un nouveau communiqué publié mardi à 22H00 (02H00 GMT), l’entreprise indique qu’en travaillant à redéployer son logiciel, « un problème a été découvert qui en a bloqué la diffusion ».
La société a donc de nouveau reporté la remise en service de ses serveurs, promettant une nouvelle communication pour mercredi 08H00 (12H00 GMT).
Auparavant, Kaseya avait demandé à ses clients de garder leurs systèmes informatiques éteints jusqu’à ce qu’elle garantisse leur sécurité.
L’entreprise, qui fournit des services informatiques à quelque 40.000 sociétés dans vingt pays, assure que l’attaque dont elle a été victime vendredi a touché moins de 60 clients directs.
En ajoutant les victimes indirectes, à savoir les clients de ses clients, « nous pensons que moins de 1.500 entreprises au total ont été touchées », affirmait Kaseya lundi soir tard.
« Il semble que cela ait causé des dégâts minimes aux entreprises américaines », a indiqué mardi le président américain Joe Biden. Ses services étaient « encore en train de rassembler des informations sur l’ampleur de l’attaque », a-t-il dit, promettant des précisions « dans les jours à venir ».
La chaîne de supermarchés suédoise Coop figure parmi les victimes indirectes de l’attaque, ses caisses ayant été paralysées lorsque son sous-traitant informatique, Visma Esscom, a été touché. La majorité des quelque 800 magasins Coop sont restés fermés mardi matin.
Les attaques par rançongiciel, quand un pirate crypte les données d’une entreprise et demande une rançon pour les débloquer, sont devenues fréquentes.
Les Etats-Unis ont été particulièrement frappés ces derniers mois par des assauts touchant de grandes entreprises comme le géant de la viande JBS ou le gestionnaire d’oléoducs Colonial Pipeline, mais aussi des collectivités locales et des hôpitaux.
Discussions entre Moscou et Washington
Selon de nombreux experts, les pirates à l’origine de cyberattaques par rançongiciel sont souvent installés en Russie et celle contre Kaseya a été menée par un affilié au groupe de hackers russophones connu sous le nom de REvil.
Comme elle s’est démultipliée en visant une entreprise fournissant des services informatiques à de nombreuses autres sociétés, « c’est probablement la plus grande attaque au rançongiciel de tous les temps », a affirmé Ciaran Martin, professeur de cybersécurité à l’université d’Oxford.
Une revendication publiée dimanche sur le blog du darknet « Happy Blog », associé dans le passé à REvil, réclame le paiement de 70 millions de dollars en bitcoins pour rendre publique la clef de déchiffrement. Les hackers affirment avoir atteint « un million d’appareils et de réseaux ».
La porte-parole de la Maison Blanche Jen Psaki a indiqué mardi qu’à la suite d’un entretien entre les présidents Joe Biden et Vladimir Poutine mi-juin sur le sujet, des discussions entre des experts de haut niveau des deux pays ont été engagées.
Il est prévu une nouvelle réunion la semaine prochaine « qui sera dédiée aux attaques par rançongiciel », a-t-elle ajouté.
Le message de l’administration américaine reste le même, a assuré Mme Psaki: « Si le gouvernement russe ne peut pas ou ne veut pas prendre de mesures contre les acteurs criminels résidant en Russie, nous prendrons des mesures ou nous nous réservons le droit de prendre des mesures nous-mêmes. »
Foire d’empoigne
L’attaque a touché les utilisateurs du logiciel VSA de Kaseya destiné à gérer à distance des réseaux de serveurs, d’ordinateurs et d’imprimantes.
Jacques de la Rivière, directeur général de la firme de cybersécurité française Gatewatcher, s’interroge sur le fait que REvil ait demandé une rançon unique.
« Les victimes ne vont jamais se cotiser pour avoir la clef de chiffrement » et les pirates « n’auront jamais aucune rémunération » pour cette attaque.
Pour lui, ses auteurs ont peut-être agi « dans la précipitation », pour ne pas être doublés par d’autres pirates également au courant de la faille.
« Comme il y a de plus en plus d’acteurs » qui cherchent à mener des attaques par rançongiciels, vu la rentabilité de ces opérations, « les types font n’importe quoi pour être les premiers à exploiter une faille », analyse-t-il.
