Les employés ont mis en garde les supérieurs de Kaseya pendant des années contre les failles de sécurité critiques de son logiciel, mais leurs inquiétudes ont été écartées, ont déclaré d’anciens employés. Bloomberg. Plusieurs membres du personnel ont démissionné par frustration ou ont été licenciés après avoir tiré la sonnette d’alarme à plusieurs reprises au sujet de défaillances dans les pratiques de cybersécurité de l’entreprise informatique. Maintenant, Kaseya est au centre de une attaque massive de ransomware qui a pris au piège plus de 1 000 entreprises dans le monde.

Entre 2017 et 2020, les employés ont signalé à leurs supérieurs « de vastes problèmes de cybersécurité », affirmant que Kaseya utilisait un code obsolète, implémentait un cryptage médiocre et ne corrigeait pas systématiquement ses logiciels et ses serveurs, rapporte Bloomberg. C’est selon cinq anciens employés de Kaseya qui ont parlé avec le point de vente sous couvert d’anonymat parce qu’ils avaient signé des accords de non-divulgation ou craignaient des représailles.

Deux anciens employés ont déclaré avoir mis en garde les dirigeants contre les vulnérabilités de son ancien logiciel Virtual System Administrator – le système que les pirates ont détourné pour lancer cette dernière attaque – qui était soi-disant tellement criblé de problèmes qu’ils voulaient qu’il soit remplacé. Les clients de Kaseya, des sociétés connues sous le nom de fournisseurs de services gérés ou MSP, fournissent des services informatiques à distance à des centaines de petites entreprises et utilisent des serveurs VSA pour gérer et envoyer des mises à jour logicielles à ces clients.

Selon rapports initiaux, les pirates ont eu accès à l’infrastructure principale de Kaseya pour envoyer des logiciels malveillants déguisés en mise à jour logicielle aux serveurs VSA exécutés dans les locaux du client. À partir de là, ils ont utilisé la mise à jour malveillante pour installer un ransomware sur chaque poste de travail connecté aux systèmes VSA. Le gang de ransomware REvil lié à la Russie a crédité pour cette attaque et demande une rançon de 70 millions de dollars pour déverrouiller tous les ordinateurs concernés.

Un ancien employé a déclaré à Bloomberg qu’en 2019, il avait envoyé à Kaseya un mémo de 40 pages décrivant ses problèmes de sécurité, l’une des nombreuses tentatives qu’il avait faites au cours de son mandat pour convaincre les dirigeants de l’entreprise de résoudre ces problèmes. Il a été licencié deux semaines plus tard, une décision qui, selon lui, était liée à ces efforts, a-t-il déclaré dans une interview avec le média. D’autres ont abandonné par frustration après que Kaseya ait semblé se concentrer sur le déploiement de nouvelles fonctionnalités de produit plutôt que sur la résolution des vulnérabilités existantes.

Un autre ancien employé a affirmé que Kaseya stockait des mots de passe clients non cryptés sur des plates-formes tierces et corrigeait rarement ses logiciels ou ses serveurs. Lorsque l’entreprise a commencé à licencier des employés en 2018 pour externaliser leurs emplois en Biélorussie, quatre des cinq travailleurs avec lesquels Bloomberg s’est entretenu ont déclaré qu’ils considéraient cette décision comme un risque potentiel pour la sécurité étant donné L’influence de la Russie sur le pays.

Le logiciel de Kaseya avait même déjà été exploité dans des attaques de ransomware, au moins deux fois entre 2018 et 2019, selon les employés. Chose déconcertante, cela ne suffisait toujours pas à les convaincre de repenser leur normes de cybersécurité.

Lorsqu’il a été contacté pour commenter ces affirmations de la part de ses anciens membres du personnel, Kaseya a fourni la déclaration suivante à Gizmodo :

« Kaseya se concentre sur les clients qui ont été touchés et sur les personnes qui ont des données réelles et essaient d’aller au fond des choses, pas sur les spéculations aléatoires d’anciens employés ou du monde entier. »

Néanmoins, les pirates ont exploité des vulnérabilités similaires à celles décrites ici pour lancer attaques à grande échelle avant, donc les réclamations des employés ne sont pas si difficiles à croire. En décembre, SolarWinds a été également ciblé dans une attaque de chaîne d’approvisionnement, c’est-à-dire lorsque des pirates informatiques exploitent les failles de sécurité des fournisseurs de logiciels tiers pour cibler leurs clients. Jusqu’à 18 000 de ses clients ont été compromis, y compris de nombreuses grandes agences et entreprises fédérales américaines.