L’attacco ransomware a Kaseya

Venerdì 2 luglio 2021, mentre gli americani si stavano preparando per festeggiare il 4 luglio, la festa dell’indipendenza, l’azienda IT Kaseya è stata oggetto di un attacco ransomware ad opera del gruppo di hacker russi REvil. Questo articolo spiega come si è sviluppato l’attacco e quali azioni preventive possono aiutarci ad evitare di essere la vittima del prossimo attacco ransomware.

 

L’attacco 

Kaseya è un’azienda IT con base in Florida. Secondo le notizie riportate nel suo sito, l’azienda fornisce applicativi per il lavoro da remoto, l’automazione dei servizi, l’automazione dei processi di compliance e il monitoraggio della performance di rete. Uno dei suo applicativi, Kaseya VSA, il 2 luglio è stato il target di un cyberattack. VSA offre un servizio di gestione e monitoraggio da remoto delle funzioni IT. VSA è distribuito in oltre 10 Paesi

Trovare e sfruttare le vulnerabilità 

Come riporta agendadigitale.eu, al momento dell’attacco il DIVD (l’Istituto Olandese per la Rilevazione delle vulnerabilità) stava già analizzando la piattaforma VSA a causa di alcune vulnerabilità critiche che aveva evidenziato. Gli hacker hanno sfruttato una di queste vulnerabilità, chiamata CVE-2021-30116, per fare incursione nei sistemi degli MSP che utilizzano l’app. 

Più precisamente, la vulnerabilità è una iniezione SQL che riesce a bypassare la fase di autenticazione, permettendo a tutti di fare il login alla piattaforma. Non è chiaro come REvil sia venuto a conoscenza della vulnerabilità. Ciò nonostante, è stato in grado di perpetrare l’attacco prima che Kaseya avesse il tempo di preparare e distribuire la patch correttiva.

 

Gli hacker: REvil

La BBC.com riporta che REvil è un gruppo di cybercriminali basato in Russia. Conosciuto anche con il nome di Sodinokibi, è uno dei gruppi hacker più prolifici e più profittevoli al mondo e ha preso ripetutamente di mira le aziende americane. A maggio 2021 l’FBI lo ha incolpato della paralisi creata al sistema operativo di JBS, il più grande fornitore al mondo di carne e prodotti derivati della carne. Precedentemente, nel 2019 è stato considerato il responsabile dell’attacco contro oltre 20 amministrazioni locali del Texas.

 

FBI contro hacker

 

Un attacco ransomware alla supply chain 

Il ruolo degli MSP

L’attacco a Kaseya è ciò che si descrive come un attacco ransomware alla supply chain: invece di dirigere l’attacco direttamente verso il consumatore finale, gli hacker hanno come target i fornitori dei software. In particolare, il sito  crn.com, che si occupa di notizie nel mondo della sicurezza, ha riferito che circa 40 Managed Service Providers (MSP) sono stati compromessi durante l’attacco, con un effetto a cascata su tutti i clienti che servivano. 

 

Gli MSP di solito gestiscono decine o centinaia di aziende. Attaccando gli hacker hanno la possibilità di estendere l’attacco ai loro clienti, sfruttando l’effetto moltiplicatore e raggiungendo una base di dispositivi molto più ampia. Infatti, poco dopo che l’attacco era stato messo in atto, il gruppo REvil ha annunciato sul suo “Happy Blog” di avere infettato più di un milione di dispositivi individuali.

Secondo Reuters.com l’attacco ha colpito aziende in tutti e cinque i continenti, paralizzando centinaia di aziende e istituzioni da piccole attività, come dentisti o commercialisti, a casi di disagi maggiori. Per esempio, la catena svedese di supermercati Coop ha dovuto chiudere centinaia di punti vendita perché i registratori di cassa sono andati fuori uso a causa dell’attacco. In Nuova Zelanda, invece, undici scuole e parecchi asili sono stati mandati offline.

Reuters riporta di aver stabilito un contatto con gli hacker e che il loro rappresentante ha affermato che, mentre l’interruzione in Svezia non è incresciosa in quanto i supermercati non sono “nulla più che business”, il caso della Nuova Zelanda è stato un incidente.

 

La richiesta di riscatto

Dopodiché è arrivata la richiesta di riscatto: REvil ha promesso a Kaseya una chiave di decriptazione universale in cambio del pagamento di un riscatto del valore di 70 milioni di dollari. Il gruppo ha chiesto che il riscatto fosse pagato in Bitcoin: le criptovalute sono diventate un mezzo di pagamento favorito in questi casi in quanto garantiscono l’anonimato. 

Reuters.com ha riportato che, a distanza di tre giorni dall’attacco, il CEO di Kaseya Fred Voccola si è rifiutato di dire se Kaseya fosse pronta a negoziare con gli hacker. L’azienda aveva già stabilito un contatto con l’FBI e con la CISA, l’Agenzia federale americana per le Infrastrutture e per la Cybersecurity.  

Reuters sottolinea come il ransomware sia diventato sempre più profittevole negli ultimi anni. Durante l’attacco al Texas del 2019 il gruppo aveva chiesto un riscatto totale di 2,5 milioni di dollari, molto al di sotto della cifra chiesta a Kaseya. Pertanto, è chiaro come le ambizioni degli hacker siano cresciute nel tempo e come il loro approccio sia diventato più misurato e organizzato. 

 

CEO di Kaseya Fred Voccola

 

Come si è concluso

Lo sforzo diplomatico

L’8 luglio CBSnews.com ha riferito che la Segretaria Stampa della Casa Bianca, Jen Paski, ha detto che ufficiali “di alto livello” della sicurezza nazionale americana avevano contattato la loro controparte russa in riferimento a questo attacco. Paski ha chiarito che gli Stati Uniti avrebbero ritenuto la Russia responsabile per le azioni criminali avvenute all’interno dei suoi confini. Inoltre, ha riportato che i due Paesi avevano programmato un incontro per la settimana seguente. 

 

Come ricorda la BBC.com, durante un summit a Ginevra tenuto a giugno 2021, il Presidente americano Joe Biden ha detto al Presidente russo Vladimir Putin che aveva la responsabilità di governare su questi attacchi cyber. Biden ha anche dato a Putin una lista di 16 settori critici delle infrastrutture, dall’energia all’acqua, che non devono essere oggetto di attacchi hacker.  

 

Il sito di REvil scompare

CSOonline.com, un’agenzia di informazione, analisi e ricerca sulla sicurezza e la gestione del rischio, il 13 luglio ha riportato che i siti riconducibili alla gang del ransomware REvil sono improvvisamente scomparsi. Pertanto, alcune delle vittime che stavano provando a negoziare con gli hacker non sono state in grado di continuare a discutere un accordo per recuperare i dati con una chiave di decriptazione. 

Questo evento ha scatenato un ampio dibattito e molta speculazione sull’ipotesi che il governo americano o quello russo abbia agito contro il gruppo. Nessuno dei due, però, ha rilasciato commenti in proposito. 

Nel frattempo Kaseya è stata capace di rilasciare alcune patch correttive per iniziare a risolvere il problema. Molte aziende, tuttavia, non erano ancora riuscite a riottenere il controllo sui dispositivi criptati.

 

Kaseya acquisisce una chiave di decriptazione universale 

Il 22 luglio Kaseya ha annunciato di aver ottenuto una chiave di decriptazione universale per le vittime dell’attacco. Non è chiaro chi abbia fornito la chiave. Kaseya si è limitata a dire che la chiave è stata fornita da un “soggetto terzo” e che i team che stavano lavorando con le vittime avevano verificato che essa non stava causando alcun problema o imprevisto.

Quando la chiave si è dimostrata efficace al 100%, è stato chiesto a Kaseya se l’avesse ottenuta dopo aver pagato il riscatto. L’azienda ha affermato che, dopo essersi consultata con gli esperti, aveva deciso di non negoziare con i criminali responsabili dell’attacco e quindi non aveva pagato alcun riscatto, né direttamente né indirettamente, ai fini di ottenere la chiave.

 

FlashStart: prevenire è meglio che curare

Un articolo inquietante di Reuters.com datato 3 agosto 2021 riporta che, nonostante la conclusione positiva dell’attacco a Kaseya, l’incidente ha provocato una nuova gara tra i gruppi criminali che cercano vulnerabilità simili. Dopo che gli hacker hanno visto quando possono essere potenti gli attacchi agli MSP hanno iniziato a muoversi per trovare e sfruttare altre debolezze nelle reti di supply chain simili a quelle che stava sperimentando Kaseya. 

Prevenire questi attacchi preparati così attentamente non è facile, ma ci sono azioni che le aziende e gli MSP possono mettere in atto per evitare di pagare un alto prezzo in termini di perdita di dati o anche in termini monetari.

Formare gli impiegati e renderli capaci di riconoscere una fonte potenziale di violazione dei dati è un primo passo in quanto l’errore umano gioca sempre un ruolo importante in questi incidenti. Proprio a causa dell’alta incidenza dell’errore umano, tuttavia, è anche essenziale essere provvisti dei giusti strumenti. In questo panorama il software di FlashStart rappresenta una scelta favorita. FlashStart offre un filtro internet cloud-based che viene costantemente aggiornato, è sempre attivo, facile da installare e difficile da spegnere. Contattaci per scoprire di più riguardo il nostro prodotto e inizia a navigare in sicurezza oggi con i servizi di FlashStart!

 

 

 


Su qualunque Router e Firewall puoi attivare la protezione FlashStart® Cloud per mettere in sicurezza i device desktop e mobile e i dispositivi IoT sulle reti locali.

> Per maggiori informazioni clicca qui
> Per una prova gratuita clicca qui
> Per richiedere i prezzi clicca qui