Gli aggressori ransomware Kaseya chiedono 70 milioni di dollari

Tre giorni dopo che gli aggressori ransomware hanno iniziato il fine settimana festivo compromettendo Kaseya VSA, abbiamo un’idea più chiara di quanto sia stato diffuso l’impatto. In una nuova richiesta di riscatto, gli aggressori affermano di aver compromesso più di 1 milione di computer e chiedono 70 milioni di dollari per decrittografare i dispositivi interessati.

Il software di Kaseya viene utilizzato dai fornitori di servizi gestiti per eseguire attività IT in remoto, ma il 2 luglio il gruppo ransomware REvil collegato alla Russia ha distribuito un aggiornamento software dannoso esponendo i provider che utilizzano la piattaforma e i loro clienti.

L’Istituto olandese per la divulgazione delle vulnerabilità (DIVD) rivelato che sembra che l’exploit utilizzato per la violazione fosse lo stesso che hanno scoperto e erano in procinto di affrontare quando gli aggressori hanno colpito. “Stavamo già conducendo un’ampia indagine sugli strumenti di backup e amministrazione del sistema e sulle loro vulnerabilità”, ha scritto DIVD. “Uno dei prodotti su cui stiamo indagando è Kaseya VSA. Abbiamo scoperto gravi vulnerabilità in Kaseya VSA e le abbiamo segnalate a Kaseya, con la quale siamo stati in contatto regolare da allora”.

Venerdì, il CEO di Kaseya Fred Vocolla ha dichiarato che “Solo una percentuale molto piccola dei nostri clienti è stata colpita, attualmente stimata in meno di 40 in tutto il mondo”. Il vicepresidente di Sophos Ross McKerchar ha dichiarato domenica in una dichiarazione che “Questo è uno degli attacchi ransomware criminali di più vasta portata che Sophos abbia mai visto. In questo momento, le nostre prove mostrano che sono stati colpiti più di 70 fornitori di servizi gestiti, con conseguente ulteriore impatto di oltre 350 organizzazioni. Ci aspettiamo che l’intera portata delle organizzazioni delle vittime sia superiore a quanto riportato da qualsiasi singola società di sicurezza”.

Il vice consigliere per la sicurezza nazionale per la tecnologia informatica e emergente Anne Neuberger ha fatto seguito ai precedenti commenti del presidente Biden, affermando che “L’FBI e la CISA raggiungeranno le vittime identificate per fornire assistenza sulla base di una valutazione del rischio nazionale”.

Huntress Labs sta partecipando alla risposta all’attacco e ha catalogato la maggior parte delle informazioni disponibili, affermando che l’attacco ha compromesso oltre 1.000 aziende che sta monitorando.

Richiesta di riscatto REvil
Sophos

Sophos, Huntress e altri hanno indicato questo post (sopra) su “Happy Blog” di REvil, affermando che più di un milione di dispositivi sono stati infettati e impostando una richiesta di riscatto di $ 70 milioni in Bitcoin per sbloccarli tutti. REvil è stato collegato a una serie di incidenti ransomware, incluso un attacco che ha coinvolto Kaseya in giugno 2019, e un incidente di alto profilo all’inizio di quest’anno che ha preso di mira il fornitore di carne JBS. Tuttavia, il ricercatore di sicurezza Marcus Hutchins espresso scetticismo sull’affermazione del gruppo, suggerendo che stanno sopravvalutando l’impatto nella speranza di ottenere un grande compenso da Kaseya o qualcun altro

Finora, una delle aziende più colpite dall’attacco è Coop, una linea di oltre 800 negozi di alimentari in Svezia che ha chiuso sabato mentre l’attacco ha spento i suoi registratori di cassa. Secondo a nota sul suo sito web, sono stati riaperti i negozi dove i clienti possono fare acquisti utilizzando l’app mobile Scan & Pay di Coop, mentre altre sedi restano chiuse. Gli esperti hanno previsto che martedì, quando i lavoratori torneranno negli uffici negli Stati Uniti, potrebbero essere scoperte più vittime.

Tre giorni dopo l’attacco, i server cloud SaaS di Kaseya rimangono offline. Il la compagnia dice fornirà una cronologia aggiornata per il ripristino del server questa sera, nonché ulteriori dettagli tecnici dell’attacco per aiutare gli sforzi di ripristino da parte dei clienti e dei ricercatori di sicurezza.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.