Un important fournisseur de services de paie utilisé par des milliers d'entreprises aux États-Unis, y compris des agences gouvernementales, signale qu'il s'attend à être en panne pendant des "semaines" en raison d'une attaque dévastatrice de ransomware.
Kronos, connu pour être utilisé par plusieurs milliers d'entreprises allant de Tesla à la National Public Radio (NPR), a vu son service Private Cloud déconnecté lundi. Cet élément est au cœur de ses services UKG Workforce Central, UKG TeleStaff et Banking Scheduling Solutions utilisés pour suivre les heures des employés et traiter les chèques de paie. La société a confirmé qu'elle avait découvert une attaque de ransomware en cours le 11 décembre et avait mis hors ligne les services hébergés dans Kronos Private Cloud dans le cadre de ses mesures d'atténuation. Kronos n'a pas donné de calendrier de reprise, mais a déclaré qu'il s'attend à ce qu'il faille au moins plusieurs jours, voire des semaines, avant que les services ne soient à nouveau entièrement en ligne.
Bien que cela n'ait pas été confirmé, il y a des spéculations sur l'implication de la fameuse vulnérabilité Log4Shell étant donné que les services cloud de Kronos sont connus pour être largement basés sur Java.
Une attaque de ransomware perturbe un important fournisseur de services de paie avant Noël
L'attaque de ransomware a apparemment fait tellement de dégâts que Kronos s'attend à ce qu'il faille plusieurs jours avant même qu'un certain niveau de service ne soit rétabli. Étant donné que la récupération complète pourrait prendre des semaines, la société a exhorté les clients à rechercher d'autres fournisseurs de paie à remplir pour l'instant.
On ne sait pas quel logiciel malveillant a été impliqué dans l'attaque de rançongiciel ou comment elle a commencé, mais pour une raison quelconque, Kronos a choisi de publier un avis important sur sa connaissance de la vulnérabilité Log4J récemment découverte et ses efforts continus pour corriger ses systèmes pour s'en protéger. Bien qu'il n'ait pas établi de lien direct entre cela et l'attaque de ransomware, cela, ajouté au fait que les services cloud de Kronos sont construits avec beaucoup de Java, a conduit à la spéculation que l'exploit Log4Shell très médiatisé pourrait avoir été impliqué.
Quelle que soit la source de la vulnérabilité, Erich Kron (défenseur de la sensibilisation à la sécurité chez KnowBe4) note que la période des vacances pour de nombreuses entreprises est celle où les cybercriminels peuvent s'attendre à faire des doubles quarts : manque de personnel en raison des vacances, ou lorsqu'ils sont extrêmement occupés, dans l'espoir que l'attaque prendra plus de temps à détecter et que les temps de réponse seront beaucoup plus lents. De plus, la pression pour servir les clients pendant ces moments cruciaux peut être très élevée, ce qui rend plus probable que la victime paie la rançon dans le but de remettre les opérations en marche rapidement… Malheureusement, le Grinch a beaucoup impacté Noël. de personnes utilisant les services de KPC. Espérons que cela n'entraîne pas un abonnement au "Jelly of the Month Club" au lieu des bonus annuels.
Les attaques Log4j augmentent après la divulgation de la vulnérabilité
La vulnérabilité Log4J était une bombe en raison de l'étendue des victimes possibles (essentiellement tous les serveurs Web exécutant Java) et de la facilité avec laquelle un attaquant pouvait l'utiliser. Il a été rendu public le 9 décembre et, à la fin du week-end suivant, les chercheurs avaient déjà détecté des centaines de milliers d'attaques lancées dans le monde.
Un outil de diagnostic couramment utilisé pour les applications Java, Log4J est si omniprésent qu'il est inclus dans un certain nombre de progiciels open source majeurs. L'exploit permet à un attaquant d'ouvrir la porte simplement en envoyant une chaîne de commandes de base, donnant un point d'entrée pour un mouvement latéral dans un réseau d'entreprise via les privilèges avancés dont dispose l'application. La vulnérabilité a été corrigée par l'éditeur Apache mais nécessite que les administrateurs mettent à niveau vers de nouvelles versions du logiciel.
L'équipe de sécurité de Microsoft a signalé que des attaques de rançongiciels se déroulaient déjà après ces violations dans au moins plusieurs cas. On ne sait pas si le fournisseur de paie avait corrigé la vulnérabilité dans Log4J avant sa propre attaque de ransomware, mais il est probable que certains administrateurs mettront des semaines à y parvenir ; cela pourrait être exacerbé en atterrissant dans une période de vacances de Noël au cours de laquelle les gens commencent à s'absenter de leur travail et les entreprises assouplissent généralement leurs postures jusqu'à ce que la nouvelle année arrive.
Les clients se sont retrouvés dans le pétrin, recherchant de nouveaux fournisseurs de paie avant les vacances
Les clients de Kronos ne sont pas seulement un fournisseur de paie avant l'une des saisons les plus chargées dans plusieurs secteurs (et un moment commun pour la distribution de primes annuelles), mais se demandent également s'ils ont perdu une variété de données sensibles. Les fournisseurs de paie ont accès à des informations financières d'entreprise et individuelles qui pourraient facilement être utilisées pour le vol et les escroqueries, et les attaques de ransomwares commencent désormais fréquemment par l'exfiltration de données telles que celle-ci et les menaces de les publier sur le dark web si les paiements ne sont pas effectués.
Au moment d'écrire ces lignes, Kronos n'avait reçu aucune nouvelle mise à jour pour ces clients (à part les diriger vers d'autres fournisseurs de paie). Le problème met en évidence la nécessité de plans d'urgence pour les attaques de ransomwares, ce qui était clairement insuffisant dans ce cas. Bien que cela incombe en grande partie à Kronos dans ce cas, Nick Tausek (architecte des solutions de sécurité chez Swimlane) prend note de certains éléments que toutes les organisations devraient prendre en compte en prévision de (très probables) futures attaques de ransomware : "Pour réduire le risque d'attaques comme celle-ci à l'avenir, les entreprises devraient envisager de mettre en place une plate-forme globale qui centralise les protocoles de détection, de réponse et d'investigation en un seul effort et aide les équipes de sécurité à automatiser certaines tâches. En tirant parti de la puissance de l'automatisation de la sécurité à faible code, les entreprises peuvent répondre à plus d'alertes en moins de temps, ce qui réduit considérablement le risque d'attaque ciblée par ransomware sans augmenter la charge de travail du personnel des opérations de sécurité.
Bien que cela ne soit pas confirmé, il y a des spéculations selon lesquelles la #vulnérabilité Log4Shell a été impliquée dans l'attaque #ransomware étant donné que les services cloud de Kronos sont connus pour être construits sur Java. #cybersecurity #respectdataCliquez pour tweeterAmit Shaked, co-fondateur & PDG de Laminar, ajoute : "Les données ne sont plus une marchandise, c'est une monnaie - comme le représente cet incident. Les informations au sein du réseau d'une organisation sont précieuses à la fois pour les entreprises et les attaquants. La majorité des données mondiales résidant dans le cloud, il est impératif que les organisations deviennent natives du cloud lorsqu'elles pensent à la protection des données. Les solutions doivent être complètement intégrées au cloud afin d'identifier les risques potentiels et de mieux comprendre où résident les données. En utilisant la double approche de visibilité et de protection, les équipes de protection des données peuvent savoir avec certitude quels magasins de données sont des cibles précieuses et s'assurer que des contrôles appropriés ainsi que des flux de sauvegarde et de récupération sont en place.
TwitterFacebookLinkedIn