• IL NOSTRO NETWORK:
  • The Innovation Group
  • Technopolis
  • ictBusiness.it
logo
logo
  • News
  • Focus
  • Eccellenze.it
  • Strategie di Canale
  • Ti trovi in:
  • Home Page
  • News

Attacco ransomware a Kaseya, 36mila aziende colpite

Gli hacker russi del gruppo REvil hanno sfruttato una vulnerabilità del software di monitoraggio remoto Kaseya Vsa.

Pubblicato il 05 luglio 2021 da Redazione

Il gigantesco attacco ransomware a Kaseya è l’ennesimo, eclatante caso di incidente informatico che ha avuto immediate e gravi ripercussioni. Da molti è stato definito, anzi, come il più grande attacco ransomware della storia, ancor peggiore di quello di Wannacry. Kaseya è una società software di Miami che sviluppa Vsa, un programma di monitoraggio remoto che (ironia della sorte) dovrebbe servire proprio a garantire maggiore sicurezza ai sistemi informatici aziendali, controllando il loro buon funzionamento e gestendo l’installazione delle patch.

 

Una falla di questo programma venerdì scorso ha consentito al già noto gruppo cybercriminale REvil di scagliare un attacco crittografico che ha colpito direttamente centinaia di aziende clienti di Kaseya, tra cui un operatore ferroviario, una catena farmaceutica e una catena della Gdo in Svezia. Secondo il Wall Street Journal, le aziende colpite indirettamente dal ransomware sarebbero però molte di più: circa 36mila, ovvero tutti i clienti di Kaseya a cui la società ha consigliato di spegnere i propri server in via precauzionale. Tra di essi, anche molti Managed Service Provider.

 

Kaseya ha ammesso di essere stata vittima di un "cyberattacco sofisticato", spiegando però che "grazie alla rapida riposta del nostro team, crediamo che sia localizzato in un numero molto piccolo di clienti on-premise".  Sabato la software house ha poi fatto sapere di aver ricostruito completamente l’attacco e di essere al lavoro per il ripristino dell’operatività. Un importante alert, riportato in grassetto sul sito Web dell'azienda, recita così: "Siamo stati consigliati dai nostri esperti esterni che i clienti colpiti da ransomware che ricevono un messaggio dagli attaccanti non devono cliccare su nessun link, perché potrebbero essere usati come arma".

 

L’operazione rivolta a Kaseya rientra nella casistica degli attacchi di supply chain, nei quali i cybercriminali sfruttano una vulnerabilità presente all’interno di una tecnologia per colpire gli utilizzatori finali e diffondere su larga scala il ransomware, così da estendere le richieste di riscatto e i guadagni. "I modelli di attacco nella compromissione della soluzione Kaseya Vsa”, ha commentato Lavi Lazarovitz, direttore senior Cyber Research dei CyberArk Labs, “ricordano la campagna Cloud Hopper, un attacco di phishing portato a un endpoint che ha avuto successivamente ripercussioni su centinaia di aziende che avevano rapporti con i cloud provider violati. Nel caso specifico di una vittima, il ciclo di attacchi è durato almeno cinque anni”.

 

CyberArk fa notare che l’attacco a Kaseya è emblematico del modo in cui, attualmente, molti criminali informatici si stanno concentrando sulla compromissione di software, processi e relazioni basate sulla fiducia. Prendere di mira servizi fidati consente agli hacker di sfruttare le autorizzazioni e gli accessi che vengono concessi.

 

 

Chi sono gli autori dell’attacco a Kaseya

Gruppo di orgine russa, REvil è già noto per precedenti attacchi ransomware di grandi proporzioni, come quello al colosso della produzione di carne Jbs. In passato il gruppo ha preteso riscatti da milioni di dollari e questa volta ha alzato il tiro: in una nota diffusa sul deep Web, ha dichiarato che avrebbe svelato la chiave software universale di decrittazione, utile per riportare in chiaro tutti i sistemi colpiti, in cambio di 70 milioni di dollari in criptovaluta. 

 

Secondo Kevin Reed, chief information security officer di Acronis, si tratterebbe però di un bluff: “Per quanto ne sappiamo, i sistemi di REvil coinvolgono un alto grado di automazione, le persone fisiche sono coinvolte solo se una vittima vuole negoziare il prezzo. Quindi, potrebbero non avere davvero bisogno di scalare per coprire la ‘coda lunga’ dei riscatti di 45.000 dollari. La vittima paga a un portafoglio Bitcoin predefinito, loro rilevano il pagamento e rilasciano la chiave di decrittazione senza coinvolgere nessuno. Penso che l'offerta di un decrittatore universale sia una trovata pubblicitaria. Se davvero hanno criptato un milione di sistemi, assumendo 1.000 sistemi per vittima, si è nell'ordine di 1.000 vittime. Con una media di 45.000 dollari per vittima - era la loro tariffa standard in questo caso – si arriva a 45 milioni di dollari. Sì, alcune vittime sono state prese di mira individualmente e hanno ricevuto richieste di riscatti più alti, ma dubito che si raggiungano i 70 milioni di dollari”.

 

Tag: cybercrimine, ransomware, attacchi, Revil, Kaseya

CYBERCRIMINE

  • Anno da record per gli attacchi informatici
  • Killnet colpisce ancora, hacker russi sui siti di Csm e ministeri
  • Attacco alla Polizia italiana e minacce dagli hacker russi di Killnet
  • Ransomware, il danno supera di molto le richieste di riscatto
  • Pubblica Amministrazione ancora debole di fronte al cybercrimine

NEWS

  • I venti contrari soffiano su Meta, nuove assunzioni in pausa
  • Google scende a patti con gli sviluppatori, pagherà 90 milioni
  • Applicazioni cloud-native senza punti deboli con Zscaler
  • Vectra AI è vendor di riferimento per la sicurezza del cloud Aws
  • Samsung raggiunge il limite dei 3 nanometri con il MbcFET
Seguici:
IctBroadcast

Tweets by ictBusinessIT

Top news
  • Più lette
  • Ultime pubblicate
Infinidat mette James Lewis alla guida del canale Emea e Apj
Il potere dell'automazione di rete e della connettività real time
Sistemi per data center, Ingram Micro distribuisce Overland-Tandberg
Gruppo Project intensifica il business incentrato su Microsoft
Google accelera in Italia con la sua prima cloud region
IT & SecOps, la collaborazione di facciata serve a poco
Storage fisico e a servizio si mescolano nella gamma Pure Storage
Fine del supporto per Internet Explorer su Windows 10
Cradlepoint punta sui partner per portare il 5G sul mercato italiano
Cisco e Kyndryl spingono cloud, edge e reti software-defined
Software per il settore sanitario, Oracle potrà comprare Cerner
AI, software, sostenibilità: le previsioni per il futuro (vicino)
I cyberattacchi importanti non sono una rarità nelle aziende italiane
La bellezza dell’hardware e del software nelle novità di Apple
Kaspersky continua a difendere la propria trasparenza
Riparte il ciclo degli Storage Day di Share Distribuzione
Qnap presenta Adra, l’OS che rende intelligenti gli switch
Vectra AI scova e corregge i rischi di Azure Active Directory
WithSecure, baluardo per la sicurezza IT delle aziende europee
Microsoft accelera sulla threat intelligence comprando Miburo
I venti contrari soffiano su Meta, nuove assunzioni in pausa
Google scende a patti con gli sviluppatori, pagherà 90 milioni
Applicazioni cloud-native senza punti deboli con Zscaler
Vectra AI è vendor di riferimento per la sicurezza del cloud Aws
Samsung raggiunge il limite dei 3 nanometri con il MbcFET
Un futuro da tremila miliardi di dollari per Aws e forse uno spin-off
Ericsson a un passo da Vonage, acquisizione entro luglio
Micron 5400 è la prima unità Ssd Sata a 176 strati
Google Hangouts comincia a farsi da parte, Chat avanza
Google Analytics, il trasferimento dati negli Usa viola il Gdpr
Chi siamo
Contatti
Privacy
Informativa Cookie
News
Focus
Eccellenze.it
Strategie di canale
The Innovation Group
Technopolis
indigo logo tig logo
© 2022 The Innovation Group, via Palermo 5, 20121 Milano | P.IVA 06750900968