Aggiornamenti recenti Dicembre 4th, 2024 9:00 AM
Lug 04, 2021 Giancarlo Calzetta Attacchi, News 0
A metà di un caldissimo venerdì americano, si è scatenato l’inferno. Il gruppo specializzato in Ransomware REvil ha sfruttato un bug nella suite Kaseya VSA per la gestione dei servizi remoti per criptare i dati di 40 MSP (Managed Service Provider) e di oltre 1.000 loro clienti.
La vulnerabilità che ha permesso questo attacco colossale sembra riguardare solo la versione on premise di Kaseya VSA, ma anche l’infrastruttura SaaS è stata messa offline per precauzione.
Kaseya ha affermato che “solo un numero molto piccolo di clienti” è stata colpita, stimandolo in circa 40, ma questo ha portato un attacco ransomware esteso a oltre 1.000 aziende, clienti a loro volta degli MSP colpiti. I criminali hanno richiesto 5 milioni di dollari come riscatto per restituire i dati ad ogni MSP e poco meno di 50.000 ad ogni cliente colpito degli MSP.
Al momento, pomeriggio in Europa, le raccomandazioni di Kaseya sono ancora quelle iniziali: tenere spenti i server VSA e non cliccare su alcun link o attachment mandato dagli attaccanti dal momento che potrebbe essere weaponizzato per strutturare ulteriori fasi dell’attacco.
Il gruppo Revil è, purtroppo, anche conosciuto per portare attacchi multipli: spesso, infatti, prima di crittografare i dati per richiedere il riscatto, li esfiltra per minacciare di diffonderli se la vittima rifiuta di pagare la prima richiesta. Al momento non è noto alcun tentativo di estorsione di “secondo livello”, ma potrebbe dipendere dal fatto che ancora non sono scaduti i termini per il pagamento del ransomware.
Fred Voccola, CEO di Kaseya, ha rilasciato una intervista alla ABC in cui dichiara che Kaseya sa esattamente come si è svolto l’attacco e sta preparando tutte le contromisure, coinvolgendo il team di incident response di Mandiant come partner per investigare e rimediare all’attacco.
Entro un lasso di tempo attualmente stimato tra le 24 e le 48 ore, Kaseya spera di rimettere online i servizi SaaS per poi procedere al roll-out di una patch che chiuda la falla usata dai pirati per portare ransomware e scoramento in tutto il pianeta.
Kaseya ha già rilasciato un tool per permettere ai propri clienti di capire se sono stati colpiti dall’attacco. A quanto pare, non ci sono state evoluzioni tecniche dal primo momento dell’attacco e gli IOC (indici di compromissione) sono rimasti immutati in questi giorni.
Gli incidenti di questo tipo, detti supply chain attack e basati sulla compromissione di software molto usati da aziende e fornitori di servizi aziendali, stanno diventando sempre più pericolosi. Dopo il famigerato attacco Sunburst che ha colpito i clienti dell’azienda Solarwind causando una delle data breach più grandi a livello planetario, si era parlato molto del pericolo che le aziende di tutto il mondo corrono da questo punto di vista, ma le contromisure non sono arrivate in tempo e, onestamente, al momento non crediamo che esista neanche un piano per gestire emergenze di questo tipo a livello generale.
Va sottolineato che attacchi di questo tipo sono anche piuttosto rischiosi per i gruppi che li organizzano. Operazioni su scala così larga attirano l’attenzione di tutte le polizie internazionali e questa è l’ultima cosa che un gruppo di criminali vuole fare. Evidentemente, quelli di REvil si sentono molto sicuri oppure hanno pianificato una dismissione dell’infrastruttura a breve, piazzando un ultimo colpo.
Dic 04, 2024 0
Dic 02, 2024 0
Nov 19, 2024 0
Nov 11, 2024 0
Dic 03, 2024 0
Dic 02, 2024 0
Nov 28, 2024 0
Nov 28, 2024 0
Dic 04, 2024 0
Le festività e gli weekend sono i periodi peggiori per le...Dic 02, 2024 0
L’Italia continua a essere uno dei Paesi più colpiti...Nov 27, 2024 0
Ingecom, fondata nel 1996 a Bilbao, è un distributore a...Nov 25, 2024 0
Di recente CISA ha pubblicato la classifica delle...Nov 25, 2024 0
Ora che l’intelligenza artificiale è entrata a far...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Dic 04, 2024 0
Le festività e gli weekend sono i periodi peggiori per...Dic 03, 2024 0
I ricercatori di 0patch, piattaforma per la distribuzione...Dic 02, 2024 0
L’Italia continua a essere uno dei Paesi più colpiti...Dic 02, 2024 0
Nel corso di questa settimana, il CERT-AGID ha identificato...Nov 28, 2024 0
Le crescenti perdite finanziarie dovute ai cyber-attacchi...