Aggiornamenti recenti Aprile 26th, 2024 9:14 AM
Lug 04, 2021 Giancarlo Calzetta Attacchi, News 0
A metà di un caldissimo venerdì americano, si è scatenato l’inferno. Il gruppo specializzato in Ransomware REvil ha sfruttato un bug nella suite Kaseya VSA per la gestione dei servizi remoti per criptare i dati di 40 MSP (Managed Service Provider) e di oltre 1.000 loro clienti.
La vulnerabilità che ha permesso questo attacco colossale sembra riguardare solo la versione on premise di Kaseya VSA, ma anche l’infrastruttura SaaS è stata messa offline per precauzione.
Kaseya ha affermato che “solo un numero molto piccolo di clienti” è stata colpita, stimandolo in circa 40, ma questo ha portato un attacco ransomware esteso a oltre 1.000 aziende, clienti a loro volta degli MSP colpiti. I criminali hanno richiesto 5 milioni di dollari come riscatto per restituire i dati ad ogni MSP e poco meno di 50.000 ad ogni cliente colpito degli MSP.
Al momento, pomeriggio in Europa, le raccomandazioni di Kaseya sono ancora quelle iniziali: tenere spenti i server VSA e non cliccare su alcun link o attachment mandato dagli attaccanti dal momento che potrebbe essere weaponizzato per strutturare ulteriori fasi dell’attacco.
Il gruppo Revil è, purtroppo, anche conosciuto per portare attacchi multipli: spesso, infatti, prima di crittografare i dati per richiedere il riscatto, li esfiltra per minacciare di diffonderli se la vittima rifiuta di pagare la prima richiesta. Al momento non è noto alcun tentativo di estorsione di “secondo livello”, ma potrebbe dipendere dal fatto che ancora non sono scaduti i termini per il pagamento del ransomware.
Fred Voccola, CEO di Kaseya, ha rilasciato una intervista alla ABC in cui dichiara che Kaseya sa esattamente come si è svolto l’attacco e sta preparando tutte le contromisure, coinvolgendo il team di incident response di Mandiant come partner per investigare e rimediare all’attacco.
Entro un lasso di tempo attualmente stimato tra le 24 e le 48 ore, Kaseya spera di rimettere online i servizi SaaS per poi procedere al roll-out di una patch che chiuda la falla usata dai pirati per portare ransomware e scoramento in tutto il pianeta.
Kaseya ha già rilasciato un tool per permettere ai propri clienti di capire se sono stati colpiti dall’attacco. A quanto pare, non ci sono state evoluzioni tecniche dal primo momento dell’attacco e gli IOC (indici di compromissione) sono rimasti immutati in questi giorni.
Gli incidenti di questo tipo, detti supply chain attack e basati sulla compromissione di software molto usati da aziende e fornitori di servizi aziendali, stanno diventando sempre più pericolosi. Dopo il famigerato attacco Sunburst che ha colpito i clienti dell’azienda Solarwind causando una delle data breach più grandi a livello planetario, si era parlato molto del pericolo che le aziende di tutto il mondo corrono da questo punto di vista, ma le contromisure non sono arrivate in tempo e, onestamente, al momento non crediamo che esista neanche un piano per gestire emergenze di questo tipo a livello generale.
Va sottolineato che attacchi di questo tipo sono anche piuttosto rischiosi per i gruppi che li organizzano. Operazioni su scala così larga attirano l’attenzione di tutte le polizie internazionali e questa è l’ultima cosa che un gruppo di criminali vuole fare. Evidentemente, quelli di REvil si sentono molto sicuri oppure hanno pianificato una dismissione dell’infrastruttura a breve, piazzando un ultimo colpo.
Apr 22, 2024 0
Apr 19, 2024 0
Apr 16, 2024 0
Mar 28, 2024 0
Apr 26, 2024 0
Apr 24, 2024 0
Apr 24, 2024 0
Apr 23, 2024 0
Apr 24, 2024 0
ToddyCat, un gruppo APT che colpisce prevalentemente...Apr 18, 2024 0
La corsa all’IA generativa ha spinto i produttori di...Apr 16, 2024 0
LockBit continua a colpire le organizzazioni di tutto il...Apr 15, 2024 0
Il 41% delle imprese italiane subisce mensilmente attacchi...Apr 12, 2024 0
In occasione del Privacy Tour 2024, l’iniziativa del...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Apr 26, 2024 0
I ricercatori di Avast hanno scoperto una nuova campagna...Apr 24, 2024 0
I ricercatori di Cisco Talos hanno scoperto una nuova...Apr 24, 2024 0
ToddyCat, un gruppo APT che colpisce prevalentemente...Apr 23, 2024 0
In occasione dell’Italian Partner Conferencetenutasi...Apr 23, 2024 0
Un team di ricercatori ha sviluppato quello che ritengono...