L’avevano definito come il più grande attacco ransomware della storia, più esteso persino di Wannacry, e invece l’offensiva scagliata contro il software vulnerabile di Kaseya sia è rivelata meno grave del previsto. Kaseya aveva invitato tutti i suoi clienti, circa 36mila aziende, a spegnere in via precauzionale i propri server. Da subito, tuttavia, la società si era detta convinta che fosse stata colpita solo una piccola parte di questi clienti, quelli cioè con server on-premise. I presunti autori dell’attacco, appartenenti al gruppo REvil, sul Dark Web sostenevano che il totale delle macchine bloccate con crittografia sfiorasse il milione.
Ora, a bocce ferme, il danno sembra essere abbastanza contenuto: non si è creato il temuto effetto a cascata, cioè un attacco che dai server delle aziende direttamente colpite avrebbe potuto raggiungere altre aziende, i loro clienti o utenti. Secondo le scansioni Internet condotte utilizzando la piattaforma Cortex Xpanse di Palo Alto Networks, il numero dei server con installato software Kaseya vulnerabile, considerando solo quelli pubblicamente visibili su Internet, è sceso dai 1.500 trovati nella giornata del 2 luglio ad appena 60 dopo sei giorni. Questo significa che il 96% dei server è stato prontamente messo offline dalle aziende dirette interessate.
"Anche se è troppo presto per fare previsioni”, ha commentato Matt Kraning, chief technology officer, Cortex di Palo Alto Networks, “siamo cautamente ottimisti sul fatto che l'impatto di questo attacco sia stato ridotto perché Kaseya ha fornito rapidamente ai clienti consigli chiari su come mitigare questa minaccia. Da questo attacco le organizzazioni hanno imparato ad avere una panoramica completa e accurata delle loro risorse IT in modo da poter valutare rapidamente e completamente se sono esposte ad attacchi come questi, e rimuovere e isolare qualsiasi risorsa potenzialmente esposta dalla loro rete".
Intanto anche FireEye (azienda che presto si chiamerà Mandiant, come l’attuale divisione di threat intelligence) ha gettato luce sull’accaduto. Charles Carmakal, strategicservices Cto di FireEye, ha spiegato che il programma ransomware creato dal gruppo REvil “è commercializzato nei forum clandestini dal maggio 2019. È gestito da un attore sconosciuto che non accetta partner di lingua inglese e non consente ai partner di colpire i paesi della ex Repubblica sovietica, inclusa l'Ucraina. Mentre gli affiliati conosciuti sono di lingua russa, è probabile che alcuni degli attori non risiedano fisicamente in Russia".
"La richiesta di riscatto è enorme ed la più grande mai rilevata”, ha aggiunto Carmakal, riferendosi ai 70 milioni di dollari richiesti dagli autori dell’attacco a Kaseya. “In questo momento REvil non ha fatto trapelare i dati ottenuti dalle loro intrusioni, schema che spesso utilizzano per spingere le vittime a pagare il riscatto. Finché i cyber criminali possono chiedere riscatti di decine di milioni di dollari e abbiano scarse probabilità di affrontare la prigione, questo problema continuerà a crescere sempre più. Questi attori sono ben finanziati e fortemente motivati e solo un'azione coordinata e forte potrà arginare queste attività".