Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Select language
English Spanish
Cerca

Aggiornamento Kaseya: “è il più grande attacco ransomware di sempre” e utilizza zeroday.

Redazione RHC : 5 Luglio 2021 05:53

L’attacco ransomware “distribuito”, che ha utilizzato il software Kaseya per infettare moltissime organizzazione attraverso un aggiornamento software, sta per iniziare ad essere più chiaro rispetto alle notizie frastagliate che si sono acquisite nella giornata di venerdì fino a domenica.

La Crisis Managemente di Kaseya


PARTE LA PROMO ESTATE -40%

RedHotCyber Academy lancia una promozione esclusiva e a tempo limitato per chi vuole investire nella propria crescita professionale nel mondo della tecnologia e della cybersecurity!

Approfitta del 40% di sconto sull’acquisto congiunto di 3 corsi da te scelti dalla nostra Academy. Ad esempio potresti fare un percorso formativo includendo Cyber Threat intelligence + NIS2 + Criptovalute con lo sconto del 40%. Tutto questo lo potrai fruire, dove e quando vuoi e con la massima flessibilità, grazie a lezioni di massimo 30 minuti ciascuna.

Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]



Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.


L’azienda Kaseya sta gestendo la crisis management in modo esemplare e con la massima trasparenza, mettendo a disposizione di tutti una pagina web nella quale riporta ora per ora le evoluzione dell’attività di analisi e cosa sta facendo per arginare la situazione.

Oltre a moltissimi ricercatori di sicurezza che stanno studiando l’accaduto, l’azienda ha ingaggiato FireEye Mandiant IR per le indagini forensi che risultano in corso.

“I nostri sforzi congiunti non hanno identificato alcun nuovo IoC da ieri e abbiamo implementato il nostro strumento di rilevamento delle compromissioni presso centinaia di clienti. A questo punto, nessun “Falso Positivo” è stato segnalato dagli utenti.”

Anche se la pista dello zeroday sembra come vedremo dopo, l’ipotesi più plausibile


Le indagini di Sophos e il vettore di attacco

Da venerdì pomeriggio, Mark Loman di Sophos è impegnato nello studio della portata dell’impatto dell’attacco ransomware distribuito, attraverso la piattaforma di gestione remota di Kaseya VSA e ne ha imparato abbastanza per dire senza riserve: questo è il più grande attacco ransomware che abbia mai visto visto.

“La particolarità di questo attacco è che gli avversari hanno sfruttato quello che ora sembra essere un exploit zero day per ottenere l’accesso per emettere comandi e inviare codice alle vittime”

afferma Loman, direttore tecnico di Sophos.

“E ciò che è interessante, è che l’attaccante ha fatto alcune ricerche per tentare di aggirare i controlli di sicurezza assicurandosi che il suo payload sia offuscato, assicurandosi che funzioni bene. Questo fa capire che gli attaccanti hanno una vasta conoscenza sul software Kaseya.”

Dalla visibilità di Sophos sui propri clienti, rileva l’impatto di oltre 70 fornitori di servizi gestiti, con il risultato di più di 350 singole aziende sono state colpite. Ma Loman si aspetta che questo numero sia molto più grande, con un impatto su migliaia di organizzazioni in tutto il mondo.

La consegna del ransomware avviene tramite un aggiornamento software automatico utilizzando Kaseya VSA. L‘autore dell’attacco interrompe immediatamente l’accesso dell’amministratore a VSA, quindi aggiunge un’attività denominata “Kaseya VSA Agent Hot-fix”.

Questo falso aggiornamento viene quindi distribuito in tutta il sistema, anche sui sistemi con client MSP, poiché si tratta di un falso aggiornamento dell’agent di gestione. Questo aggiornamento dell’agent di gestione è in realtà il ransomware REvil. Per essere chiari, ciò significa che le organizzazioni che non sono clienti di Kaseya, con molto probabilità sono crittografate.

REvil rilascia un decryptor “universale”.

REvil intanto ha pubblicato sul suo “Happy Blog” (nascosto nella rete Onion), uno strumento di decifrazione universale, per una cifra di 70 milioni di dollari, che permetterà di sbloccare qualsiasi vittima raggiunta dall’attacco di Kaseya.

Gli estorsori affermano che “tutti saranno in grado di riprendersi dall’attacco in meno di un’ora”. I ricercatori di sicurezza hanno precedentemente notato che REvil sembrava chiedere un riscatto separato per ogni singola macchina crittografata (avevamo visto alcuni riscatti di 5 milioni di dollari nelle giornate di ieri e di sabato) e non in base all’organizzazione. Il riscatto per ogni singolo computer crittografato è stato fissato a 45.000 dollari, anche se poi il prezzo fatto per l’universal decryptor ha tenuto conto di una “economia di scala”.

Ciò imposterebbe l’importo totale del riscatto richiesto dagli estorsori a oltre 45 miliardi di dollari, se oltre 1 milione di computer sono stati crittografati come richiesto.

Intanto le aziende cominciano a chiudere

Come avevamo anticipato nella mattinata di Domenica, che la Coop Sweden ha dovuto chiudere immediatamente 800 supermercati annunciando sabato:

“Uno dei nostri subappaltatori è stato bersaglio di un attacco informatico, motivo per cui la nostra attività non è più redditizia e dobbiamo chiudere”.

Il gruppo spera di tenere sotto controllo il problema rapidamente e di poter riaprire le filiali.

La catena di supermercati non ha fornito altri dettagli sull’attacco informatico. Coop Sweden non ha rivelato il nome del subappaltatore coinvolto o come l’azienda sia stata violata. Tuttavia, la consociata svedese della società di software Visma ha annunciato venerdì che il problema è correlato ad un grave attacco informatico alla società IT statunitense Kaseya.

Le reti informatiche di quasi 200 aziende sono state “crittografate” durante l’attacco, secondo la società di consulenza sulla sicurezza informatica Huntress Labs, e stiamo assistendo giorno dopo giorno alle vittime di questo violento attacco cyber, che sembra frutto della famigerata cyber-gang REvil, della quale abbiamo parlato molto su queste pagine nei mesi scorsi.


Fonte

https://www.kaseya.com/potential-attack-on-kaseya-vsa/?fbclid=IwAR1bhu1tuV6piPLlN5NvbB6cJfvIzTlUcq0b5jj8JDTWojPBJ2zth1op1bc

https://doublepulsar.com/kaseya-supply-chain-attack-delivers-mass-ransomware-event-to-us-companies-76e4ec6ec64b

https://www.bankinfosecurity.com/interviews/kaseya-ransomware-largest-attack-ive-witnessed-so-far-i-4926

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli

Articoli in evidenza

Il kernel Linux verso il “vibe coding”? Le regole per l’utilizzo degli assistenti AI sono alle porte
Di Redazione RHC - 26/07/2025

Sasha Levin, sviluppatore di kernel Linux di lunga data, che lavora presso NVIDIA e in precedenza presso Google e Microsoft, ha proposto di aggiungere alla documentazione del kernel regole formali per...

Google trasforma il web in una vetrina per l’AI! Un disastro a breve per l’economia digitale
Di Redazione RHC - 26/07/2025

Google sta trasformando il suo motore di ricerca in una vetrina per l’intelligenza artificiale, e questo potrebbe significare un disastro per l’intera economia digitale. Secondo un nuovo...

Gli Exploit SharePoint sono in corso: aziende e enti nel mirino
Di Sandro Sana - 26/07/2025

Il panorama delle minacce non dorme mai, ma stavolta si è svegliato con il botto. Il 18 luglio 2025, l’azienda di sicurezza Eye Security ha lanciato un allarme che ha subito trovato eco ne...

Operazione Checkmate: colpo grosso delle forze dell’ordine. BlackSuit è stato fermato!
Di Redazione RHC - 25/07/2025

Nel corso di un’operazione internazionale coordinata, denominata “Operation Checkmate”, le forze dell’ordine hanno sferrato un duro colpo al gruppo ransomware BlackSuit (qu...

I Mostri sono stati puniti! GreySkull: 18 condanne e 300 anni di carcere per i pedofili
Di Redazione RHC - 25/07/2025

Il Dipartimento di Giustizia degli Stati Uniti ha segnalato lo smantellamento di quattro piattaforme darknet utilizzate per la distribuzione di materiale pedopornografico. Contemporaneamente, un dicio...

Iscriviti alla nostra newsletter

Iscriviti alla newsletter settimanale di Red Hot Cyber per restare sempre aggiornato sulle ultime novità in cybersecurity e tecnologia digitale.

 
Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

PRINCIPALI CATEGORIE
Attacchi Informatici Italiani
Dark Web & Cybercrime
0day, bug e Vulnerabilità
Hacking
Cybersecurity Italia
Cyberpolitica & Intelligence

RISORSE
Academy
Rubriche
Il manifesto di Red Hot Cyber
Feed RSS
Contatti

Copyright @ REDHOTCYBER Srl
PIVA 17898011006