L'attacco ransomware condotto dalla banda informatica REvil (Sodikinibi) colpisce 1.500 aziende in tutto il mondo

Un grave attacco ransomware effettuato dalla famigerata banda cibernetica REvil /Sodinikibi al timone, potrebbe aver colpito fino a 200 aziende in America e quasi 1500 in tutto il mondo. I truffatori legati alla Russia hanno compromesso uno specifico pacchetto software di gestione della rete per diffondere la minaccia, che ha permesso loro di raggiungere una miriade di fornitori di servizi cloud.

Il software difettoso in questione si chiama Virtual System Administrator, o VSA, un sistema di monitoraggio e gestione remoto sviluppato e commercializzato da Kaseya, una società privata, che si sforza di fornire soluzioni software efficienti ed economiche alle piccole e medie imprese in tutto il mondo . Il malware ha iniziato a eseguire ransomware sugli endpoint gestiti dal pacchetto locale VAS di Kaseya. Di conseguenza, la portata effettiva della tattica potrebbe rivelarsi molto più significativa di quanto i ricercatori della sicurezza avessero sperato.

Sfruttare il software popolare per un impatto maggiore

Gli attacchi ransomware di quel calibro di solito cercano di trovare falle di sicurezza in programmi software ben noti e ampiamente utilizzati, quindi sfruttano tali difetti per piantare il malware più in basso nella catena di approvvigionamento. Tuttavia, questo è il primo attacco ransomware a catena di approvvigionamento su larga scala che abbiamo osservato. Dato il gran numero di aziende che utilizzano il pacchetto VSA di Kaseya, non è del tutto chiaro quale percentuale dei loro clienti sia stata finora vittima dell'attacco. La direzione di Kaseya ha appena emesso un avviso ufficiale che invita i clienti a chiudere tutti i loro server VSA locali per frenare la diffusione del malware. Sebbene la società abbia trovato meno di sessanta clienti interessati, questi ultimi hanno rapporti commerciali con molte altre società in futuro, il che porta il numero totale di società interessate a una stima di 1500 o giù di lì.

Alla vigilia del 4 luglio – Coincidenza o mossa calcolata?

I ricercatori della sicurezza ritengono che la tempistica dell'attacco – venerdì 2 luglio – sia stata intenzionale dato che la maggior parte dei reparti aziendali, inclusi gli IT, in genere ha ridotto il personale prima e durante le festività nazionali. John Hammond di Huntress Labs, che ha scoperto l'attacco, ha segnalato almeno quattro fornitori di servizi gestiti infetti, ciascuno dei quali fornisce servizi di hosting dell'infrastruttura IT a molte altre aziende. Il carattere della catena di approvvigionamento dell'attacco ha un enorme potenziale di danno perché le sue ultime vittime sono le piccole e medie imprese che dipendono interamente dalla sicurezza dei loro fornitori. Una volta che quest'ultimo ha subito una violazione, si diffonde a macchia d'olio tra i loro clienti aziendali più a valle della catena.

Patch e misure preventive (a partire dal 6 luglio, 12:00 PM EDT)

I funzionari di Kaseya hanno consigliato ai clienti interessati di chiudere i propri server VSA in loco fino a nuovo avviso ed evitare di fare clic su qualsiasi URL relativo al ransomware, promettendo di sviluppare una patch di sicurezza prima di riportare i server online. La società ha seguito l'esempio mettendo offline anche la sua infrastruttura SaaS VSA. Mentre gli specialisti della sicurezza di Kaseya sperano di ripristinare i servizi SaaS entro le 19:00 EDT di oggi, hanno anche in programma di implementare una serie di misure di sicurezza avanzate per ridurre al minimo il rischio di infezioni future. Tali misure vanno dalla creazione di:

• Un Security Operations Center (SOC) indipendente per monitorare ogni server VSA
• Una Content Delivery Network (CDN) aggiuntiva con un Web Application Firewall (WAF) corrispondente per ogni server VSA
• Uno strumento di rilevamento dei compromessi per i clienti che desiderano testare i propri server VSA in sede per eventuali violazioni
• Una patch per i clienti VSA on-premise (già sviluppata, attualmente in fase di test e convalida).

Se tutto andrà come previsto, i clienti VSA di Kaseya saranno in grado di far funzionare i propri server entro poche ore.