Analisi dell’attacco Kaseya dopo tre mesi.

Redazione RHC : 26 Settembre 2021 13:30

A giugno, REvil ha attaccato JBS, il più grande fornitore di carne al mondo, chiudendo temporaneamente alcune attività in Australia, Canada e Stati Uniti. Un mese dopo, poco prima del fine settimana del 4 luglio, ha colpito Kaseya, colpendo piccole città del Maryland, negozi di alimentari in Svezia e scuole in Nuova Zelanda.

Il panorama di un attacco distribuito su vasta scala

In quell’attacco di luglio, REvil ha hackerato il software fornito da Kaseya, un’azienda IT con sede a Miami, e 54 dei clienti di Kaseya sono stati infettati.

Molte delle vittime erano “fornitori di servizi” che forniscono software IT ai clienti per migliorare l’efficienza della rete.

Centinaia di clienti dei fornitori di servizi di gestione, che utilizzavano il software Kaseya, sono stati a loro volta vittime. Kaseya ha stimato che tra le 800 e le 1.500 aziende in totale erano state colpite dal ransomware.

La situazione vista da JustTech

Justice, la cui società JustTech è uno dei clienti MSP di Kaseya, ha trascorso più di un mese a ripristinare i sistemi dei suoi clienti.

“Avevo persone che piangevano al telefono che ci chiedevano la loro attività avrebbe fallito”

ha detto.

“Un uomo mi ha detto: ‘Dovrei semplicemente andare in pensione? Dovrei licenziare tutti i miei dipendenti? ‘”

Senza la chiave per ripristinare i dati crittografati in uno stato leggibile, le vittime sono state costrette a recuperare i dati con le copie di backup qualora disponibili o a sostituire i propri sistemi, processi sia costosi che dispendiosi in termini di tempo.

Justice ha fatto sì che i team di sicurezza lavorassero a turni di 18 ore per ripristinare e far funzionare i sistemi dell’azienda e dei suoi clienti. Justice ha detto: “E’ stato un mese di inferno”.

La chiusura della distribuzione alimentare

La catena di supermercati svedese Coop ha dichiarato di non sapere ancora quanto sia costato chiudere temporaneamente i suoi negozi.

“Abbiamo dovuto chiudere circa 700 dei nostri negozi e ci sono voluti sei giorni prima che tutti riaprissero”

Ha detto la portavoce Helena Esscher in una e-mail.

“L’impatto finanziario dipende da diversi fattori, come la perdita di vendite, ovviamente, ma anche dalle assicurazioni e fino a che punto coprono eventi come quello che si è verificato”.

Due analisti che studiano le catene alimentari hanno affermato che la chiusura delle grande catena di supermercati Coop, avrebbe potuto costare all’azienda milioni di dollari in affari persi.

Gli impatti dell’attacco secondo Kaseya

L’amministratore delegato di Kaseya, Fred Voccola, ha affermato di ritenere che il danno causato dall’attacco non sia stato così grande come inizialmente temuto. Ha detto in un videomessaggio la settimana successiva all’attacco che la società ha lavorato rapidamente per evitare che il danno si diffondesse.

“Le persone fanno la storia e ne fanno un impatto più grande di quello che è”.

La portavoce di Kaseya, Dana Liedholm, ha rifiutato di commentare chi ha fornito la chiave di decrittazione nelle settimane successive all’attacco anche se ha affermato che non ha pagato un riscatto e non si è mai impegnata con REvil.

Alla domanda se Kaseya fosse soddisfatta della risposta dell’FBI in questa situazione, Liedholm ha detto:

“…siamo stati molto contenti del modo in cui hanno lavorato con noi”.

Ha detto che non sapeva quanti dei 54 clienti dell’azienda fossero in grado di utilizzare la chiave di decifratura. Ha notato che “molti sono stati in grado di ripristinare i loro sistemi dai backup”, mentre alcuni non lo erano.

La richiesta di riscatto

REvil aveva chiesto riscatti che andavano da 45.000 a 5 milioni di dollari, a seconda delle dimensioni dell’azienda. A un certo punto, Kaseya ha creato un universal decryptor che sarebbe stato utile a tutte le organizzazioni per ripristinare i dati, al costo di 70 milioni di dollari.

Alcune società di risposta agli incidenti fanno pagare da 400 a 500 dollari l’ora per indagare su un attacco, incluso apprendere come l’intruso è entrato, espellere l’attaccante e contenere il danno. Ci sono poi i costi per il ripristino dei sistemi utilizzando i dati di backup e la creazione di resilienza per evitare un ulteriore attacco. Devono essere presi in considerazione anche i costi legali e contabili.

I decryptor forniti dai criminali ransomware non offrono una soluzione semplice. Spesso contengono difetti del software, quindi la decrittazione può essere lenta e inaffidabile. Inoltre, una volta sbloccato un sistema, deve ancora essere ripulito da tutto il malware che il criminale potrebbe aver lasciato. Tutto ciò richiede tempo e competenza, che si aggiungono ai costi di ripristino.

Un ospedale in Romania è stato colpito, ma disponeva di backup cartacei di tutti i dati dei pazienti in modo da essere salvati da un attacco distruttivo come questo, ha affermato Alexandru Cosoi, direttore delle indagini e della medicina legale di Bitdefender, una società di sicurezza informatica con sede a Bucarest.

L’utility rilasciata da Bit Defender

Giovedì scorso, Bitdefender ha rilasciato un decryptor “universale” per sbloccare tutti i sistemi crittografati da REvil prima del 13 luglio, la data in cui la piattaforma è andata offline.

Cosoi ha affermato che l’azienda ha ottenuto la chiave da un “partner delle forze dell’ordine”, la cui identità è obbligata a mantenere segreta per ora. Il partner non era l’FBI, secondo persone a conoscenza della questione.

Cosoi ha detto che l’azienda ha ricevuto la chiave martedì e l’ha testata per assicurarsi che funzionasse prima di renderla disponibile. Sarebbe di grande beneficio, ha detto, per le vittime che potrebbero avere sistemi parzialmente ripristinati e avere ancora dati crittografati che potrebbero essere sbloccati.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli