Redazione RHC : 26 Settembre 2021 13:30
A giugno, REvil ha attaccato JBS, il più grande fornitore di carne al mondo, chiudendo temporaneamente alcune attività in Australia, Canada e Stati Uniti. Un mese dopo, poco prima del fine settimana del 4 luglio, ha colpito Kaseya, colpendo piccole città del Maryland, negozi di alimentari in Svezia e scuole in Nuova Zelanda.
Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)?Stiamo per avviare il corso intermedio in modalità "Live Class" del corso "Dark Web & Cyber Threat Intelligence". A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente. Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato. Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile. Guarda subito l'anteprima gratuita del corso su academy.redhotcyber.com Contattaci per ulteriori informazioni tramite WhatsApp al 375 593 1011 oppure scrivi a [email protected]  Supporta RHC attraverso:
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
In quell’attacco di luglio, REvil ha hackerato il software fornito da Kaseya, un’azienda IT con sede a Miami, e 54 dei clienti di Kaseya sono stati infettati.
Molte delle vittime erano “fornitori di servizi” che forniscono software IT ai clienti per migliorare l’efficienza della rete.
Centinaia di clienti dei fornitori di servizi di gestione, che utilizzavano il software Kaseya, sono stati a loro volta vittime. Kaseya ha stimato che tra le 800 e le 1.500 aziende in totale erano state colpite dal ransomware.
Justice, la cui società JustTech è uno dei clienti MSP di Kaseya, ha trascorso più di un mese a ripristinare i sistemi dei suoi clienti.
“Avevo persone che piangevano al telefono che ci chiedevano la loro attività avrebbe fallito”
ha detto.
“Un uomo mi ha detto: ‘Dovrei semplicemente andare in pensione? Dovrei licenziare tutti i miei dipendenti? ‘”
Senza la chiave per ripristinare i dati crittografati in uno stato leggibile, le vittime sono state costrette a recuperare i dati con le copie di backup qualora disponibili o a sostituire i propri sistemi, processi sia costosi che dispendiosi in termini di tempo.
Justice ha fatto sì che i team di sicurezza lavorassero a turni di 18 ore per ripristinare e far funzionare i sistemi dell’azienda e dei suoi clienti. Justice ha detto: “E’ stato un mese di inferno”.
La catena di supermercati svedese Coop ha dichiarato di non sapere ancora quanto sia costato chiudere temporaneamente i suoi negozi.
“Abbiamo dovuto chiudere circa 700 dei nostri negozi e ci sono voluti sei giorni prima che tutti riaprissero”
Ha detto la portavoce Helena Esscher in una e-mail.
“L’impatto finanziario dipende da diversi fattori, come la perdita di vendite, ovviamente, ma anche dalle assicurazioni e fino a che punto coprono eventi come quello che si è verificato”.
Due analisti che studiano le catene alimentari hanno affermato che la chiusura delle grande catena di supermercati Coop, avrebbe potuto costare all’azienda milioni di dollari in affari persi.
L’amministratore delegato di Kaseya, Fred Voccola, ha affermato di ritenere che il danno causato dall’attacco non sia stato così grande come inizialmente temuto. Ha detto in un videomessaggio la settimana successiva all’attacco che la società ha lavorato rapidamente per evitare che il danno si diffondesse.
“Le persone fanno la storia e ne fanno un impatto più grande di quello che è”.
La portavoce di Kaseya, Dana Liedholm, ha rifiutato di commentare chi ha fornito la chiave di decrittazione nelle settimane successive all’attacco anche se ha affermato che non ha pagato un riscatto e non si è mai impegnata con REvil.
Alla domanda se Kaseya fosse soddisfatta della risposta dell’FBI in questa situazione, Liedholm ha detto:
“…siamo stati molto contenti del modo in cui hanno lavorato con noi”.
Ha detto che non sapeva quanti dei 54 clienti dell’azienda fossero in grado di utilizzare la chiave di decifratura. Ha notato che “molti sono stati in grado di ripristinare i loro sistemi dai backup”, mentre alcuni non lo erano.
REvil aveva chiesto riscatti che andavano da 45.000 a 5 milioni di dollari, a seconda delle dimensioni dell’azienda. A un certo punto, Kaseya ha creato un universal decryptor che sarebbe stato utile a tutte le organizzazioni per ripristinare i dati, al costo di 70 milioni di dollari.
Alcune società di risposta agli incidenti fanno pagare da 400 a 500 dollari l’ora per indagare su un attacco, incluso apprendere come l’intruso è entrato, espellere l’attaccante e contenere il danno. Ci sono poi i costi per il ripristino dei sistemi utilizzando i dati di backup e la creazione di resilienza per evitare un ulteriore attacco. Devono essere presi in considerazione anche i costi legali e contabili.
I decryptor forniti dai criminali ransomware non offrono una soluzione semplice. Spesso contengono difetti del software, quindi la decrittazione può essere lenta e inaffidabile. Inoltre, una volta sbloccato un sistema, deve ancora essere ripulito da tutto il malware che il criminale potrebbe aver lasciato. Tutto ciò richiede tempo e competenza, che si aggiungono ai costi di ripristino.
Un ospedale in Romania è stato colpito, ma disponeva di backup cartacei di tutti i dati dei pazienti in modo da essere salvati da un attacco distruttivo come questo, ha affermato Alexandru Cosoi, direttore delle indagini e della medicina legale di Bitdefender, una società di sicurezza informatica con sede a Bucarest.
Giovedì scorso, Bitdefender ha rilasciato un decryptor “universale” per sbloccare tutti i sistemi crittografati da REvil prima del 13 luglio, la data in cui la piattaforma è andata offline.
Cosoi ha affermato che l’azienda ha ottenuto la chiave da un “partner delle forze dell’ordine”, la cui identità è obbligata a mantenere segreta per ora. Il partner non era l’FBI, secondo persone a conoscenza della questione.
Cosoi ha detto che l’azienda ha ricevuto la chiave martedì e l’ha testata per assicurarsi che funzionasse prima di renderla disponibile. Sarebbe di grande beneficio, ha detto, per le vittime che potrebbero avere sistemi parzialmente ripristinati e avere ancora dati crittografati che potrebbero essere sbloccati.
RedazioneAutore: Inva Malaj e Raffaela Crisci 04/10/2025 – Darkforums.st: “303” Rivendica Data Breach di 9 GB su Apple.com Nelle prime ore del 4 ottobre 2025, sul forum underground Darkforums è comparsa...
La storia di SoopSocks è quella che, purtroppo, conosciamo bene: un pacchetto PyPI che promette utilità — un proxy SOCKS5 — ma in realtà introduce un impianto malevolo ben orchestrato. Non stia...
Per decenni, l’informatica è stata considerata una scelta professionale stabile e ricca di opportunità. Oggi, però, studenti, università e imprese si trovano davanti a un panorama radicalmente m...
Lunedì scorso, Asahi Group, il più grande produttore giapponese di birra, whisky e bevande analcoliche, ha sospeso temporaneamente le sue operazioni in Giappone a seguito di un attacco informatico c...
Una nuova campagna malevola sta utilizzando Facebook come veicolo per diffondere Datzbro, un malware Android che combina le caratteristiche di un trojan bancario con quelle di uno spyware. L’allarme...
