Ka(tastroph)seya: mille aziende sotto ransomware per un attacco agli MSP

Lug 04, 2021 Giancarlo Calzetta Attacchi, News 0

A metà di un caldissimo venerdì americano, si è scatenato l’inferno. Il gruppo specializzato in Ransomware REvil ha sfruttato un bug nella suite Kaseya VSA per la gestione dei servizi remoti per criptare i dati di 40 MSP (Managed Service Provider) e di oltre 1.000 loro clienti.

La vulnerabilità che ha permesso questo attacco colossale sembra riguardare solo la versione on premise di Kaseya VSA, ma anche l’infrastruttura SaaS è stata messa offline per precauzione.

Kaseya ha affermato che “solo un numero molto piccolo di clienti” è stata colpita, stimandolo in circa 40, ma questo ha portato un attacco ransomware esteso a oltre 1.000 aziende, clienti a loro volta degli MSP colpiti. I criminali hanno richiesto 5 milioni di dollari come riscatto per restituire i dati ad ogni MSP e poco meno di 50.000 ad ogni cliente colpito degli MSP.

Al momento, pomeriggio in Europa, le raccomandazioni di Kaseya sono ancora quelle iniziali: tenere spenti i server VSA e non cliccare su alcun link o attachment mandato dagli attaccanti dal momento che potrebbe essere weaponizzato per strutturare ulteriori fasi dell’attacco.

Il gruppo Revil è, purtroppo, anche conosciuto per portare attacchi multipli: spesso, infatti, prima di crittografare i dati per richiedere il riscatto, li esfiltra per minacciare di diffonderli se la vittima rifiuta di pagare la prima richiesta. Al momento non è noto alcun tentativo di estorsione di “secondo livello”, ma potrebbe dipendere dal fatto che ancora non sono scaduti i termini per il pagamento del ransomware.

Fred Voccola, CEO di Kaseya, ha rilasciato una intervista alla ABC in cui dichiara che Kaseya sa esattamente come si è svolto l’attacco e sta preparando tutte le contromisure, coinvolgendo il team di incident response di Mandiant come partner per investigare e rimediare all’attacco.

Entro un lasso di tempo attualmente stimato tra le 24 e le 48 ore, Kaseya spera di rimettere online i servizi SaaS per poi procedere al roll-out di una patch che chiuda la falla usata dai pirati per portare ransomware e scoramento in tutto il pianeta.

Kaseya ha già rilasciato un tool per permettere ai propri clienti di capire se sono stati colpiti dall’attacco. A quanto pare, non ci sono state evoluzioni tecniche dal primo momento dell’attacco e gli IOC (indici di compromissione) sono rimasti immutati in questi giorni.

Gli incidenti di questo tipo, detti supply chain attack e basati sulla compromissione di software molto usati da aziende e fornitori di servizi aziendali, stanno diventando sempre più pericolosi. Dopo il famigerato attacco Sunburst che ha colpito i clienti dell’azienda Solarwind causando una delle data breach più grandi a livello planetario, si era parlato molto del pericolo che le aziende di tutto il mondo corrono da questo punto di vista, ma le contromisure non sono arrivate in tempo e, onestamente, al momento non crediamo che esista neanche un piano per gestire emergenze di questo tipo a livello generale.

Va sottolineato che attacchi di questo tipo sono anche piuttosto rischiosi per i gruppi che li organizzano. Operazioni su scala così larga attirano l’attenzione di tutte le polizie internazionali e questa è l’ultima cosa che un gruppo di criminali vuole fare. Evidentemente, quelli di REvil si sentono molto sicuri oppure hanno pianificato una dismissione dell’infrastruttura a breve, piazzando un ultimo colpo.

Condividi l'articolo