Dr Commodore
LIVE

Kaseya, REvil infetta e chiede $70 milioni di riscatto

Attraverso il software VSA si sta diffondendo un pericoloso ransomware tra i clienti di Kaseya

Gli attacchi ransomware sono ormai all’ordine del giorno e, nonostante alcune aziende preparate come Bose riescano a non cedere ai riscatti, alcune realtà come i sistemi sanitari nazionali non riescono ad uscirne.

E ora Kaseya, nota software house statunitense che gestisce reti e sistemi, è stata vittima di un enorme attacco hacker che potrebbe virtualmente coinvolgere oltre 2 milioni di PC.

Ciò perché è stato colpito VSA, un programma rilasciato da Kaseya che si occupa di gestire le grandi reti come quelle utilizzate dai provider. Ed è proprio questo che preoccupa, considerando che al momento Kaseya conta 40 clienti contagiati, secondo lo specialista di sicurezza informatica Marco Govoni:

“Se ogni provider cliente di Kaseya ha 500 clienti (aziende) e che ogni azienda ha cinque server e 100 pc monitorati con VSA, significa che REvil colpendo un solo obiettivo ha a disposizione circa 100.000 server e 2 milioni di PC infettati da ransomware”.

kaseya hacker corpo 2

L’attacco nel dettaglio

Secondo molti si può parlare quindi del più grande attacco ransomware mai effettuato nella storia dell’informatica, che è stato condotto dal gruppo REvil attraverso una 0-day vulnerability, cioè un bug nel software non ancora scoperto dalla software house ma noto agli hacker.

E proprio attraverso tale vulnerabilità che REvil è riuscita a iniettare il proprio ransomware all’interno dell’ultimo aggiornamento di VSA distribuito attraverso il gestore degli aggiornamenti dedicato. Scaricato tale aggiornamento compromesso, il dado è ormai tratto per il computer vittima, dato che il virus è in grado di replicarsi e agire autonomamente come un vero e proprio worm.

Dopo aver contagiato i vari dispositivi il gruppo REvil ha chiesto ad alcune aziende oltre 5 milioni di dollari di riscatto per poter recuperare i loro dati bloccati dal ransomware, mentre ha anche annunciato sul suo blog di voler distribuire un decrittatore universale dietro il pagamento di ben 70 milioni di dollari.

kaseya hacker corpo 3

Le soluzioni proposte da Kaseya

Nonostante all’inizio l’impresa statunitense proponesse semplicemente di spegnere e mantenere offline i computer e server infettati dal ransomware, la software house ha ora comunicato l’imminente arrivo degli aggiornamenti di sicurezza che ripristineranno i dispositivi manomessi.

Nell’attesa di questi importanti aggiornamenti, il Computer Security Incident Response Team – Italia (CSIRT) ha stilato una serie di consigli utili per le aziende colpite:

  • implementare l’autenticazione multifattore su tutti gli account gestiti;
  • proteggere l’accesso alle infrastrutture RMM (Remote Management and Monitoring) attraverso l’implementazione di connessioni VPN o specificando i soli indirizzi IP autorizzati (whitelist);
  • verificare di essere in possesso di backup aggiornati e funzionanti, avendo cura di conservarli fisicamente e/o logicamente disconnessi dalla rete IT aziendale;
  • procedere alla gestione manuale del ciclo di patching delle proprie infrastrutture fino alla risoluzione della problematica;
  • implementare il modello least-priviledge su tutti gli account utilizzati all’interno dell’organizzazione
  • valutare l’implementazione sui propri apparati di sicurezza degli Indicatori di Compromissione (IoC) forniti in allegato.

Fonti: cybersecurity360.it, forbes.com.

 

Articoli correlati

Simone Campisi

Simone Campisi

Sai che non sai?

Condividi