Aggiornamenti recenti Settembre 21st, 2023 2:00 PM
Lug 04, 2021 Giancarlo Calzetta Attacchi, News 0
A metà di un caldissimo venerdì americano, si è scatenato l’inferno. Il gruppo specializzato in Ransomware REvil ha sfruttato un bug nella suite Kaseya VSA per la gestione dei servizi remoti per criptare i dati di 40 MSP (Managed Service Provider) e di oltre 1.000 loro clienti.
La vulnerabilità che ha permesso questo attacco colossale sembra riguardare solo la versione on premise di Kaseya VSA, ma anche l’infrastruttura SaaS è stata messa offline per precauzione.
Kaseya ha affermato che “solo un numero molto piccolo di clienti” è stata colpita, stimandolo in circa 40, ma questo ha portato un attacco ransomware esteso a oltre 1.000 aziende, clienti a loro volta degli MSP colpiti. I criminali hanno richiesto 5 milioni di dollari come riscatto per restituire i dati ad ogni MSP e poco meno di 50.000 ad ogni cliente colpito degli MSP.
Al momento, pomeriggio in Europa, le raccomandazioni di Kaseya sono ancora quelle iniziali: tenere spenti i server VSA e non cliccare su alcun link o attachment mandato dagli attaccanti dal momento che potrebbe essere weaponizzato per strutturare ulteriori fasi dell’attacco.
Il gruppo Revil è, purtroppo, anche conosciuto per portare attacchi multipli: spesso, infatti, prima di crittografare i dati per richiedere il riscatto, li esfiltra per minacciare di diffonderli se la vittima rifiuta di pagare la prima richiesta. Al momento non è noto alcun tentativo di estorsione di “secondo livello”, ma potrebbe dipendere dal fatto che ancora non sono scaduti i termini per il pagamento del ransomware.
Fred Voccola, CEO di Kaseya, ha rilasciato una intervista alla ABC in cui dichiara che Kaseya sa esattamente come si è svolto l’attacco e sta preparando tutte le contromisure, coinvolgendo il team di incident response di Mandiant come partner per investigare e rimediare all’attacco.
Entro un lasso di tempo attualmente stimato tra le 24 e le 48 ore, Kaseya spera di rimettere online i servizi SaaS per poi procedere al roll-out di una patch che chiuda la falla usata dai pirati per portare ransomware e scoramento in tutto il pianeta.
Kaseya ha già rilasciato un tool per permettere ai propri clienti di capire se sono stati colpiti dall’attacco. A quanto pare, non ci sono state evoluzioni tecniche dal primo momento dell’attacco e gli IOC (indici di compromissione) sono rimasti immutati in questi giorni.
Gli incidenti di questo tipo, detti supply chain attack e basati sulla compromissione di software molto usati da aziende e fornitori di servizi aziendali, stanno diventando sempre più pericolosi. Dopo il famigerato attacco Sunburst che ha colpito i clienti dell’azienda Solarwind causando una delle data breach più grandi a livello planetario, si era parlato molto del pericolo che le aziende di tutto il mondo corrono da questo punto di vista, ma le contromisure non sono arrivate in tempo e, onestamente, al momento non crediamo che esista neanche un piano per gestire emergenze di questo tipo a livello generale.
Va sottolineato che attacchi di questo tipo sono anche piuttosto rischiosi per i gruppi che li organizzano. Operazioni su scala così larga attirano l’attenzione di tutte le polizie internazionali e questa è l’ultima cosa che un gruppo di criminali vuole fare. Evidentemente, quelli di REvil si sentono molto sicuri oppure hanno pianificato una dismissione dell’infrastruttura a breve, piazzando un ultimo colpo.
Set 14, 2023 0
Set 13, 2023 0
Set 12, 2023 0
Set 07, 2023 0
Set 21, 2023 0
Set 21, 2023 0
Set 20, 2023 0
Set 20, 2023 0
Set 19, 2023 0
Uno dei modi migliori per condividere idee e favorire la...Set 18, 2023 0
I dispositivi IoT stanno trasformando l’operatività...Set 18, 2023 0
La sicurezza delle password è un aspetto cruciale per...Set 13, 2023 0
Il fenomeno dei ransomware non si arresta e, anzi, continua...Set 13, 2023 0
Il furto di account rimane uno dei principali problemi di...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Set 21, 2023 0
Nel corso di Innovation 2023, Intel ha annunciato il...Set 21, 2023 0
Sale la tensione tra Pechino e Washington: la Cina ha...Set 20, 2023 0
Earth Lusca è ancora in attività: il gruppo...Set 20, 2023 0
I ricercatori di Wiz, compagnia di sicurezza per il...Set 19, 2023 0
HWG, azienda di servizi gestiti e consulenza cyber, e...