Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Aggiornamento Kaseya: “è il più grande attacco ransomware di sempre” e utilizza zeroday.

Redazione RHC : 5 Luglio 2021 05:53

L’attacco ransomware “distribuito”, che ha utilizzato il software Kaseya per infettare moltissime organizzazione attraverso un aggiornamento software, sta per iniziare ad essere più chiaro rispetto alle notizie frastagliate che si sono acquisite nella giornata di venerdì fino a domenica.

La Crisis Managemente di Kaseya


PARTE LA PROMO ESTATE -40%

RedHotCyber Academy lancia una promozione esclusiva e a tempo limitato per chi vuole investire nella propria crescita professionale nel mondo della tecnologia e della cybersecurity!

Approfitta del 40% di sconto sull’acquisto congiunto di 3 corsi da te scelti dalla nostra Academy. Ad esempio potresti fare un percorso formativo includendo Cyber Threat intelligence + NIS2 + Criptovalute con lo sconto del 40%. Tutto questo lo potrai fruire, dove e quando vuoi e con la massima flessibilità, grazie a lezioni di massimo 30 minuti ciascuna.

Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]



Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.


L’azienda Kaseya sta gestendo la crisis management in modo esemplare e con la massima trasparenza, mettendo a disposizione di tutti una pagina web nella quale riporta ora per ora le evoluzione dell’attività di analisi e cosa sta facendo per arginare la situazione.

Oltre a moltissimi ricercatori di sicurezza che stanno studiando l’accaduto, l’azienda ha ingaggiato FireEye Mandiant IR per le indagini forensi che risultano in corso.

“I nostri sforzi congiunti non hanno identificato alcun nuovo IoC da ieri e abbiamo implementato il nostro strumento di rilevamento delle compromissioni presso centinaia di clienti. A questo punto, nessun “Falso Positivo” è stato segnalato dagli utenti.”

Anche se la pista dello zeroday sembra come vedremo dopo, l’ipotesi più plausibile


Le indagini di Sophos e il vettore di attacco

Da venerdì pomeriggio, Mark Loman di Sophos è impegnato nello studio della portata dell’impatto dell’attacco ransomware distribuito, attraverso la piattaforma di gestione remota di Kaseya VSA e ne ha imparato abbastanza per dire senza riserve: questo è il più grande attacco ransomware che abbia mai visto visto.

“La particolarità di questo attacco è che gli avversari hanno sfruttato quello che ora sembra essere un exploit zero day per ottenere l’accesso per emettere comandi e inviare codice alle vittime”

afferma Loman, direttore tecnico di Sophos.

“E ciò che è interessante, è che l’attaccante ha fatto alcune ricerche per tentare di aggirare i controlli di sicurezza assicurandosi che il suo payload sia offuscato, assicurandosi che funzioni bene. Questo fa capire che gli attaccanti hanno una vasta conoscenza sul software Kaseya.”

Dalla visibilità di Sophos sui propri clienti, rileva l’impatto di oltre 70 fornitori di servizi gestiti, con il risultato di più di 350 singole aziende sono state colpite. Ma Loman si aspetta che questo numero sia molto più grande, con un impatto su migliaia di organizzazioni in tutto il mondo.

La consegna del ransomware avviene tramite un aggiornamento software automatico utilizzando Kaseya VSA. L‘autore dell’attacco interrompe immediatamente l’accesso dell’amministratore a VSA, quindi aggiunge un’attività denominata “Kaseya VSA Agent Hot-fix”.

Questo falso aggiornamento viene quindi distribuito in tutta il sistema, anche sui sistemi con client MSP, poiché si tratta di un falso aggiornamento dell’agent di gestione. Questo aggiornamento dell’agent di gestione è in realtà il ransomware REvil. Per essere chiari, ciò significa che le organizzazioni che non sono clienti di Kaseya, con molto probabilità sono crittografate.

REvil rilascia un decryptor “universale”.

REvil intanto ha pubblicato sul suo “Happy Blog” (nascosto nella rete Onion), uno strumento di decifrazione universale, per una cifra di 70 milioni di dollari, che permetterà di sbloccare qualsiasi vittima raggiunta dall’attacco di Kaseya.

Gli estorsori affermano che “tutti saranno in grado di riprendersi dall’attacco in meno di un’ora”. I ricercatori di sicurezza hanno precedentemente notato che REvil sembrava chiedere un riscatto separato per ogni singola macchina crittografata (avevamo visto alcuni riscatti di 5 milioni di dollari nelle giornate di ieri e di sabato) e non in base all’organizzazione. Il riscatto per ogni singolo computer crittografato è stato fissato a 45.000 dollari, anche se poi il prezzo fatto per l’universal decryptor ha tenuto conto di una “economia di scala”.

Ciò imposterebbe l’importo totale del riscatto richiesto dagli estorsori a oltre 45 miliardi di dollari, se oltre 1 milione di computer sono stati crittografati come richiesto.

Intanto le aziende cominciano a chiudere

Come avevamo anticipato nella mattinata di Domenica, che la Coop Sweden ha dovuto chiudere immediatamente 800 supermercati annunciando sabato:

“Uno dei nostri subappaltatori è stato bersaglio di un attacco informatico, motivo per cui la nostra attività non è più redditizia e dobbiamo chiudere”.

Il gruppo spera di tenere sotto controllo il problema rapidamente e di poter riaprire le filiali.

La catena di supermercati non ha fornito altri dettagli sull’attacco informatico. Coop Sweden non ha rivelato il nome del subappaltatore coinvolto o come l’azienda sia stata violata. Tuttavia, la consociata svedese della società di software Visma ha annunciato venerdì che il problema è correlato ad un grave attacco informatico alla società IT statunitense Kaseya.

Le reti informatiche di quasi 200 aziende sono state “crittografate” durante l’attacco, secondo la società di consulenza sulla sicurezza informatica Huntress Labs, e stiamo assistendo giorno dopo giorno alle vittime di questo violento attacco cyber, che sembra frutto della famigerata cyber-gang REvil, della quale abbiamo parlato molto su queste pagine nei mesi scorsi.


Fonte

https://www.kaseya.com/potential-attack-on-kaseya-vsa/?fbclid=IwAR1bhu1tuV6piPLlN5NvbB6cJfvIzTlUcq0b5jj8JDTWojPBJ2zth1op1bc

https://doublepulsar.com/kaseya-supply-chain-attack-delivers-mass-ransomware-event-to-us-companies-76e4ec6ec64b

https://www.bankinfosecurity.com/interviews/kaseya-ransomware-largest-attack-ive-witnessed-so-far-i-4926

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli

Articoli in evidenza

Dopo aver criptato mezzo mondo, Hunters International chiude! Distribuito gratuitamente il Decryptor

Hunters International, il gruppo responsabile di uno dei più grandi attacchi ransomware degli ultimi anni, ha annunciato ufficialmente la cessazione delle sue attività. In una dichiarazione ...

Da AI white ad AI black il passo è breve. Nuovi strumenti per Script Kiddies bussano alle porte

I ricercatori di Okta  hanno notato che aggressori sconosciuti stanno utilizzando lo strumento di intelligenza artificiale generativa v0 di Vercel per creare pagine false che imitano qu...

Se è gratuito, il prodotto sei tu. Google paga 314 milioni di dollari per violazione dei dati agli utenti Android

Google è al centro di un’imponente causa in California che si è conclusa con la decisione di pagare oltre 314 milioni di dollari agli utenti di smartphone Android nello stato. Una giu...

CTF di RHC 2025. Ingegneria sociale in gioco: scopri la quarta “flag” non risolta

La RHC Conference 2025, organizzata da Red Hot Cyber, ha rappresentato un punto di riferimento per la comunità italiana della cybersecurity, offrendo un ricco programma di talk, workshop e compet...

Linux Pwned! Privilege Escalation su SUDO in 5 secondi. HackerHood testa l’exploit CVE-2025-32463

Nella giornata di ieri, Red Hot Cyber ha pubblicato un approfondimento su una grave vulnerabilità scoperta in SUDO (CVE-2025-32463), che consente l’escalation dei privilegi a root in ambie...