Come REvil Ransomware ha eliminato migliaia di aziende in una sola volta

Una catena enorme La reazione di venerdì ha infettato almeno centinaia e probabilmente migliaia di aziende in tutto il mondo con ransomware, tra cui una ferrovia, una catena di farmacie e centinaia di vetrine del marchio di negozi di alimentari Coop svedese. Effettuato dalla famigerata banda criminale REvil con sede in Russia, l’attacco è un momento spartiacque, una combinazione di ransomware e un cosiddetto attacco alla catena di approvvigionamento. Ora, sta diventando più chiaro come esattamente l’abbiano tirato fuori.

Alcuni dettagli erano noti già venerdì pomeriggio. Per propagare il suo ransomware a un numero imprecisato di obiettivi, gli aggressori hanno scoperto una vulnerabilità nel meccanismo di aggiornamento utilizzato dalla società di servizi IT Kaseya. L’azienda sviluppa software utilizzato per gestire reti e dispositivi aziendali, quindi vende tali strumenti ad altre società chiamate “fornitori di servizi gestiti”. Gli MSP, a loro volta, stipulano contratti con piccole e medie imprese o qualsiasi istituzione che non voglia gestire da sé la propria infrastruttura IT. Inseminando il suo ransomware utilizzando il meccanismo di distribuzione affidabile di Kaseya, gli aggressori potrebbero infettare l’infrastruttura Kaseya di MSP e quindi guardare i domino cadere mentre quegli MSP distribuivano inavvertitamente malware ai loro clienti.

Ma entro domenica, i ricercatori della sicurezza avevano messo insieme dettagli critici su come gli aggressori avevano ottenuto e sfruttato quel punto d’appoggio iniziale.

“La cosa interessante di questo e preoccupante è che REvil ha utilizzato applicazioni affidabili in ogni caso per ottenere l’accesso agli obiettivi. Di solito gli attori del ransomware hanno bisogno di più vulnerabilità in diverse fasi per farlo o del tempo sulla rete per scoprire le password degli amministratori”, afferma Sean Gallagher, ricercatore senior di Sophos sulle minacce. Sophos pubblicatopho nuove scoperte relative all’attentato di domenica. “Questo è un gradino sopra l’aspetto che solitamente hanno gli attacchi ransomware.”

Esercizio di fiducia

L’attacco era imperniato sullo sfruttamento di una vulnerabilità iniziale nel sistema di aggiornamento automatico di Kaseya per il suo sistema di monitoraggio e gestione remoto noto come VSA. Non è ancora chiaro se gli aggressori abbiano sfruttato la vulnerabilità lungo tutta la catena nei sistemi centrali di Kaseya. Ciò che sembra più probabile è che abbiano sfruttato i singoli server VSA gestiti da MSP e abbiano inviato gli “aggiornamenti” dannosi da lì ai clienti MSP. REvil sembra aver adattato le richieste di riscatto, e anche alcune delle loro tecniche di attacco, in base al bersaglio, piuttosto che adottare un approccio unico per tutti.

La tempistica dell’attacco è stata particolarmente sfortunata perché i ricercatori della sicurezza avevano già identificato la vulnerabilità sottostante nel sistema di aggiornamento di Kaseya. Wietse Boonstra dell’Istituto olandese per la divulgazione delle vulnerabilità stava lavorando con Kaseya per sviluppare e testare patch per il difetto. Le correzioni stavano per essere rilasciate, ma non erano ancora state implementate quando REvil ha colpito.

“Abbiamo fatto del nostro meglio e Kaseya ha fatto del suo meglio”, afferma Victor Gevers, un ricercatore dell’Istituto olandese per la divulgazione delle vulnerabilità. “È una vulnerabilità facile da trovare, credo. Questo è molto probabilmente il motivo per cui gli attaccanti hanno vinto lo sprint finale”.

Gli aggressori hanno sfruttato la vulnerabilità per distribuire un payload dannoso ai server VSA vulnerabili. Ma ciò significava che colpivano anche, per estensione, le applicazioni dell’agente VSA in esecuzione sui dispositivi Windows dei clienti di quegli MSP. Le “cartelle di lavoro” VSA in genere funzionano come un giardino recintato affidabile all’interno di quelle macchine, il che significa che gli scanner di malware e altri strumenti di sicurezza sono istruiti a ignorare qualsiasi cosa stiano facendo, fornendo una preziosa copertura agli hacker che le hanno compromesse.

Una volta depositato, il malware ha quindi eseguito una serie di comandi per nascondere l’attività dannosa da Microsoft Defender, lo strumento di scansione malware integrato in Windows. Infine, il malware ha incaricato il processo di aggiornamento di Kesaya di eseguire una versione legittima ma obsoleta e scaduta del “Servizio antimalware” di Microsoft, un componente di Windows Defender. Gli aggressori possono manipolare questa versione obsoleta per “caricare lateralmente” il codice dannoso, intrufolandolo oltre Windows Defender nello stesso modo in cui Luke Skywalker può sgattaiolare davanti agli Stormtrooper se indossa la loro armatura. Da lì, il malware ha iniziato a crittografare i file sul computer della vittima. Ha anche preso provvedimenti per rendere più difficile per le vittime il recupero dai backup dei dati.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.