Il gruppo di cybercriminali, noto come REvil , sta portando avanti uno degli attacchi ransomware di più ampia portata mai rilevato che sta sconvolgendo il mondo dell’IT
Il famigerato gruppo di cybercriminali, noto come REvil, ha portato a termine un altro attacco ransomware, dopo quelli contro Travelex, Acer e JBS.
Il nuovo bersaglio è Kaseya VSA, una piattaforma cloud per la gestione dei servizi IT.
Il ransomware è stato installato tramite un aggiornamento software.
Ransomware contro Kaseya VSA: colpite oltre 1.000 aziende
Kaseya VSA è una piattaforma software per il monitoraggio e la gestione remota delle infrastrutture IT.
Molte aziende affidano la gestione in outsourcing ai cosiddetti MSP (Managed Service Provider).
I cybercriminali hanno quindi attaccato circa 30 MSP in diversi paesi del mondo e quindi oltre 1.000 loro clienti.
Kaseya ha confermato l’accaduto, specificando che sono stati colpiti solo i server VSA (on-premises), non i server SaaS.
Per sicurezza, la software house statunitense ha spento anche i server SaaS.
Sfruttando una vulnerabilità in Kaseya VSA, i cybercriminali hanno distribuito un finto aggiornamento contenente il ransomware.
Al momento della sua esecuzione viene avviato il processo di cifratura dei file. Il malware esegue anche uno script PowerShell per disattivare varie funzionalità di Microsoft Defender.
Per ricevere la chiave di decifrazione sono stati chiesti riscatti di circa 50.000 dollari alle piccole aziende e fino a 5 milioni di dollari alle grandi aziende.
Ovviamente il pagamento deve essere effettuato in criptovaluta. Non è chiaro se sono stati sottratti dati dai computer colpiti.
Kaseya rilascerà un Compromise Detection Tool che permette di recuperare i file e distribuirà presto una patch per correggere la vulnerabilità. I server VSA dovranno essere riavviati solo dopo l’installazione dell’update.
Kaseya ha comunicato che i server SaaS verranno riavviati a partire da oggi.
Successivamente verrà programmata la distribuzione della patch per i server VSA on-premises.
Intanto il gruppo REvil ha confermato di essere l’autore dell’attacco, chiedendo un riscatto di 70 milioni di dollari in Bitcoin.
Ecco alcuni commenti in merito all’accaduto:
Ross McKerchar, vicepresident e chief information security officer di Sophos:
“Questo è uno degli attacchi ransomware di più ampia portata che Sophos abbia mai rilevato. Al momento, le nostre analisi mostrano che più di 70 managed service provider sono stati colpiti e ciò ha coinvolto a cascata altre 350 aziende. Riteniamo che la portata totale delle realtà coinvolte sarà assai più ampia di quanto riportato finora dalle singole aziende di cybersicurezza. L’attacco ha mietuto vittime in tutto il mondo ed in particolar modo negli Stati Uniti, in Germania e in Canada, ma anche in Australia, nel Regno Unito e in altre aree geografiche”
Mark Loman, Sophos Director of Engineering:
“Sophos sta indagando approfonditamente sull’attacco a Kaseya, che ritentiamo sia un esempio di cosiddetto “supply chain attack” (si definisce supply chain attack qualsiasi tipo di attacco verso un’azienda che faccia leva sulla debolezza di un componente della sua supply chain (catena di fornitori), quale essa sia. Si tratta di un attacco che sfrutta una vulnerabilità o una debolezza di uno dei fornitori per poter entrare nella rete dell’obiettivo dell’attacco)
Gli autori di questa particolare minaccia stanno usando gli MSP come vettori di distribuzione per colpire il maggior numero possibile di aziende, indipendentemente dalle dimensioni o dal settore di appartenenza. Questo è una modalità che vediamo applicata sempre più spesso: i cybercriminali cercando metodi sempre nuovi per massimizzare l’impatto dei propri attacchi, per ottenere un ritorno economico, per sottrarre credenziali e altre informazioni proprietarie o per altri scopi ancora. In altri attacchi su larga scala che sono stati rilevati, come WannaCry, il ransomware stesso era il distributore – in questo caso, gli MSP che utilizzano una gestione IT ampiamente utilizzata sono il tramite.
Alcuni ransomware di successo hanno rastrellato riscatti da milioni di dollari, con i quali è possibile che gli autori possano acquistare exploit zero-day di grande valore. Si ritiene che certi tipi di exploit possano essere ottenuti solo da stati-nazione che li userebbero solo per specifici attacchi isolati. Nelle mani dei criminali informatici, un exploit di questo tipo può avere un impatto devastante su un elevato numero di aziende, con gravi conseguenze sulla vita quotidiana di tutti i cittadini”
Il giorno successivo all’attacco, è apparso evidente che un affiliato del REvil Ransomware-as-a-Service (RaaS) ha sfruttato un exploit zero-day che gli ha permesso di distribuire il ransomware attraverso il software Virtual Systems Administrator (VSA) di Kaseya.
Di solito, questo software offre un canale di comunicazione altamente affidabile che permette agli MSP un accesso privilegiato illimitato per aiutare molte aziende con i loro ambienti IT. In base a quanto rilevato dalla threat intelligence di Sophos, REvil è stato attivo nelle ultime settimane, anche nell’attacco JBS, ed è attualmente il ransomware dominante coinvolto nei casi di managed threat response di Sophos”