Mega attacco ransomware mondiale, via Kaseya: perché è allarme rosso
Lo chiamano già il più grande attacco ransomware della storia quello che partendo dall’infezione di Kaseya, società che fornisce sistemi di monitoraggio della rete, si sta diffondendo a centinaia di suoi clienti, potenzialmente mettendo a rischio già – forse – milioni di pc
Fonte: https://www.cybersecurity360.it/nuove-minacce/ransomware/mega-attacco-ransomware-mondiale-via-kaseya-perche-e-allarme-rosso/
Lo chiamano già il più grande attacco ransomware della storia. E speriamo che sia eccesso di pessimismo. Partendo dall’infezione di Kaseya, società che fornisce sistemi di monitoraggio della rete, si sta diffondendo a centinaia di suoi clienti, potenzialmente mettendo a rischio già – forse – milioni di pc secondo le prime stime.
Il loro software, VSA, è stato colpito dal gruppo cybercrime REvil già noto per attacchi mirati a importanti aziende (come i fornitori Apple).
Kaseya ha riferito che circa 40 suoi clienti (provider/fornitori IT) sono stati colpiti dal ransomware e consiglia di spegnare i suoi sistemi. Chiunque li sui ora è a rischio.
“Se ogni provider cliente di Kaseya ha 500 clienti (aziende) e che ogni azienda ha cinque server e 100 pc monitorati con VSA, significa che REvil colpendo un solo obiettivo ha a disposizione circa 100.000 server e 2 milioni di PC infettati da ransomware”, dice il professionista di cybersecurity Marco Govoni, spiegando l’effetto a catena che rende quest’attacco così pericoloso su scala globale.
La memoria corre già a Wannacry che si è diffuso incontrollato come una pandemia arrivando a mettere in ginocchio anche ospedali. Se fosse successo durante il covid sarebbe stato il disastro. Speriamo che non sia il destino di questo ransomware, quando ancora il mondo non è libero dallo spettro del coronavirus.
Indice degli argomenti
L’attacco ransomware a Kaseya
L’attacco si è diffuso ad almeno 200 organizzazioni, secondo la società di cybersecurity Huntress Labs, secondo cui è già uno dei più grandi attacchi criminali ransomware della storia.
L’attacco è stato rivelato per la prima volta venerdì pomeriggio – non a caso durante il periodo delle festività americane del 4 luglio, quando meno esperti IT aziendali sono presenti per arginare il problema.
Dal momento che questi clienti Kaseya gestiscono centinaia o migliaia di aziende, non è chiaro quanti saranno vittime del ransomware durante il fine settimana. Certo il numero è destinato a salire.
I riscatti
Huntress Labs riporta che alcune delle aziende hanno ricevuto richieste da 5 milioni di dollari per il riscatto dei dati.
Le conseguenze
Tra le prime conseguenze, una delle più grandi catene alimentari svedesi, Coop, ha temporaneamente chiuso quasi tutti i suoi quasi 800 negozi perché è stata catturata dall’attacco.
Il software utilizzato per crittografare i computer delle vittime sembra simile al tipo normalmente utilizzato da REvil, una banda ransomware in gran parte composta da russofoni.
Eric Goldstein, assistente direttore esecutivo della CISA per la sicurezza informatica, ha detto che la sua agenzia e l’FBI hanno iniziato a valutare lo scenario.
“La CISA sta monitorando da vicino questa situazione e stiamo lavorando con l’FBI per raccogliere informazioni sul suo impatto”, ha detto Goldstein in una dichiarazione via e-mail.
“Incoraggiamo tutti coloro che potrebbero essere colpiti ad impiegare le mitigazioni raccomandate e gli utenti a seguire la guida di Kaseya”, ha detto.
Com’è potuto succedere l’attacco a Kaseya
Le vittime della violazione sono state colpite attraverso un aggiornamento del software Kaseya, secondo quanto analizzato da Kevin Beaumont, un ricercatore di minacce. Invece di ricevere l’ultimo aggiornamento di Kaseya, hanno ricevuto il ransomware di REvil. Una tecnica usata anche nel caso Solarwinds.
Kaseya è stata inizialmente violata attraverso una vulnerabilità precedentemente sconosciuta nei suoi sistemi – conosciuta come “zero day” perché quando tali vulnerabilità vengono scoperte, i produttori di software hanno zero giorni per risolverle. Nel frattempo, i criminali informatici e le spie possono utilizzare la vulnerabilità per scatenare il caos.
Beaumont ha detto che l’attacco ha segnato una grave escalation nelle tattiche delle bande di ransomware. Negli attacchi precedenti, REvil era noto per entrare attraverso una combinazione di phishing, password rubate o una mancanza di autenticazione multifattoriale.
I ricercatori olandesi hanno detto di aver segnalato la vulnerabilità a Kaseya, ma la società stava ancora lavorando su una patch quando è stata violata e i suoi aggiornamenti software sono stati compromessi.
Perché quello a Kaseya è un attacco ransomware molto pericoloso
“La portata di un attacco come quello subito da Kaseya può essere enorme perché assume il comportamento di in “worm”, così come WannaCry alcuni anni fa”, spiega il noto consulente forense Paolo dal Checco a Cybersecurity360.it. “L’infezione si diffonde in modo automatico, capillare, raggiungendo i rivenditori dei servizi e, tramite essi, gli utenti finali, senza che sia necessario intervento umano né da parte degli attaccanti né delle vittime”.
Si può solo “staccare il filo”
“La soluzione, quindi, almeno almeno nelle prime fasi non può essere altro che isolare il sistema oppure. una volta compreso il vettore/canale di attacco e predisposte delle contromisure – aggiornare i sistemi per evitare gli update contenenti il malware. La situazione sta peraltro peggiorando: la rapidità e ampiezza delle infezioni, combinata con il periodo del week-end del 4 luglio scelto per l’attacco, sta creando intasamenti nei centri di assistenza e nei provider che non riescono a gestire le richieste delle vittime del ransomware”, dice Dal Checco.
Un’ultima, anche se ovvia, considerazione: gli attacchi ransomware sono un pericolo in rapida crescita, potenzialmente destabilizzante per le infrastrutture economiche e sociali di un Paese. Gli Stati Uniti (vedi) stanno potenziando la propria strategia dopo i recenti casi Solarwinds.
L’Italia si è svegliata su questo fronte (vedi sotto). Speriamo che non sia troppo tardi per evitare vittime importanti.
Le azioni di mitigazione consigliate
Seguendo le indicazioni fornite da Kaseya sulla pagina dedicata alla pubblicazione degli aggiornamenti e ai risultati delle proprie analisi, e in attesa del rilascio degli aggiornamenti di sicurezza – che andranno installati manualmente, come indicato nel bollettino di sicurezza – lo CSIRT Italia consiglia di implementare le seguenti misure di mitigazione:
implementare l’autenticazione multifattore su tutti gli account gestiti;
proteggere l’accesso alle infrastrutture RMM (Remote Management and Monitoring) attraverso l’implementazione di connessioni VPN o specificando i soli indirizzi IP autorizzati (whitelist);
verificare di essere in possesso di backup aggiornati e funzionanti, avendo cura di conservarli fisicamente e/o logicamente disconnessi dalla rete IT aziendale;
procedere alla gestione manuale del ciclo di patching delle proprie infrastrutture fino alla risoluzione della problematica;
implementare il modello least-priviledge su tutti gli account utilizzati all’interno dell’organizzazione
valutare l’implementazione sui propri apparati di sicurezza degli Indicatori di Compromissione (IoC) forniti in allegato.
Il tool per verificare la compromissione dei server VSA
Sempre in attesa del rilascio degli aggiornamenti di sicurezza, la stessa Kaseya consiglia anche di verificare l’eventuale compromissione dei propri server utilizzando il tool VSA Detection appositamente realizzato.
È sufficiente collegarsi al sito dedicato e cliccare sul pulsante Download in alto a destra per scaricare il file VSA Detection Tools.zip. Al suo interno è contenuto anche anche il file Instructions.pdf con una semplice guida pratica sull’uso dello strumento di diagnostica.