L’incubo del ransomware Kaseya è quasi finito

Quasi tre settimane fa, un attacco ransomware contro una società di software IT poco conosciuta chiamata Kaseya è sfociato in un’epidemia completa, con gli hacker che hanno sequestrato i computer di ben 1.500 aziende, tra cui una grande catena di alimentari svedese. La scorsa settimana, il famigerato gruppo dietro l’hack è scomparso da Internet, lasciando le vittime senza modo di pagare e liberare i propri sistemi. Ma ora la situazione sembra vicina a essere finalmente risolta, grazie alla comparsa a sorpresa giovedì di uno strumento di decrittazione universale.

L’hack del 2 luglio è stato terribile. Kaseya fornisce software di gestione IT popolare tra i cosiddetti fornitori di servizi gestiti (MSP), che sono aziende che offrono infrastrutture IT alle aziende che preferiscono non gestirle da sole. Sfruttando un bug nel software incentrato su MSP chiamato Virtual System Administrator, il gruppo di ransomware REvil è stato in grado di infettare non solo quegli obiettivi ma anche i loro clienti, provocando un’ondata di devastazione.

Nelle settimane successive, le vittime avevano effettivamente due scelte: pagare il riscatto per recuperare i loro sistemi o ricostruire ciò che era stato perso attraverso i backup. Per molte aziende individuali, REvil ha fissato il riscatto a circa $ 45.000. Ha tentato di abbattere gli MSP per un massimo di $ 5 milioni. Originariamente aveva anche fissato il prezzo di un decryptor universale a 70 milioni di dollari. Il gruppo sarebbe poi sceso a $ 50 milioni prima di svanire, probabilmente nel tentativo di rimanere basso durante un momento di alta tensione. Quando sono scomparsi, hanno portato con sé il loro portale di pagamento. Le vittime sono rimaste bloccate, incapaci di pagare anche se lo avessero voluto.

La portavoce di Kaseya, Dana Liedholm, ha confermato a WIRED che la società ha ottenuto un decryptor universale da una “terza parte fidata”, ma non ha spiegato chi l’ha fornito. “Abbiamo un team che lavora attivamente con i nostri clienti che sono stati colpiti e condivideremo di più su come renderemo ulteriormente disponibile lo strumento man mano che tali dettagli saranno disponibili”, ha affermato Liedholm in una dichiarazione inviata tramite e-mail, aggiungendo che l’assistenza alle vittime era già iniziata, con l’aiuto della società di antivirus Emsisoft.

“Stiamo lavorando con Kaseya per supportare i loro sforzi di coinvolgimento dei clienti”, ha dichiarato Brett Callow, analista delle minacce di Emsisoft. “Abbiamo confermato che la chiave è efficace nello sbloccare le vittime e continueremo a fornire supporto a Kaseya e ai suoi clienti”.

La società di sicurezza Mandiant ha lavorato con Kaseya sulla riparazione in modo più ampio, ma un portavoce di Mandiant ha rimandato WIRED a Liedholm quando gli è stato chiesto ulteriore chiarezza su chi ha fornito la chiave di decrittazione e quante vittime ne hanno ancora bisogno.

La possibilità di liberare ogni dispositivo che rimane crittografato è innegabilmente una buona notizia. Ma il numero di vittime rimaste per aiutare a questo punto potrebbe essere una parte relativamente piccola dell’ondata iniziale. “La chiave di decrittazione è probabilmente utile per alcuni clienti, ma probabilmente è troppo poco e troppo tardi”, afferma Jake Williams, CTO della società di sicurezza BreachQuest, che ha più clienti colpiti dalla campagna REvil. Questo perché chiunque fosse in grado di ricostituire i propri dati, tramite backup, pagamento o altro, probabilmente lo avrebbe già fatto. “I casi in cui è più probabile che aiutino di più sono quelli in cui sono presenti alcuni dati univoci su un sistema crittografato che semplicemente non possono essere ricostituiti in modo significativo in alcun modo”, afferma Williams. “In quei casi, abbiamo consigliato a quelle organizzazioni di pagare immediatamente le chiavi di decrittazione se i dati erano critici”.

Molte delle vittime di REvil erano piccole e medie imprese; in quanto clienti MSP, sono per definizione i tipi che preferiscono esternalizzare le proprie esigenze IT, il che a sua volta significa che potrebbero avere meno probabilità di avere backup affidabili prontamente disponibili. Tuttavia, ci sono altri modi per ricostruire i dati, anche se ciò significa chiedere a clienti e fornitori di inviare tutto ciò che hanno e ricominciare da capo. “È improbabile che qualcuno sperasse in una chiave”, afferma Williams.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.