L'ANALISI TECNICA

Finti aggiornamenti di sicurezza Kaseya VSA nascondono malware e rubano dati sensibili: i dettagli

Due differenti campagne malspam stanno diffondendo finti aggiornamenti Microsoft che dovrebbero correggere la vulnerabilità di Kaseya VSA: in realtà, si tratta della backdoor CobaltStrike e del malware Dridex usati per prendere il controllo dei sistemi target e rubare dati sensibili. Ecco tutti i dettagli

08 Lug 2021
L
Salvatore Lombardo

Funzionario informatico, Esperto ICT, Socio Clusit e autore

Paolo Tarsitano

Editor Cybersecurity360.it

Due differenti campagne malspam stanno sfruttando i recenti attacchi ransomware che hanno coinvolto Kaseya contro la sua piattaforma VSA (Virtual System/Server Administrator) per diffondere file eseguibili insieme a link che si spacciano per finti aggiornamenti di sicurezza Microsoft, ma che in realtà rilasciano la backdoor CobaltStrike o il malware Dridex.

Finti aggiornamenti Kaseya: le campagne malspam in atto

Tutto ciò avviene mentre Kaseya si sta affrettando a ripristinare la versione SaaS del suo prodotto VSA colpito dalla banda criminale del ransomware REvil, senza non poche difficoltà che stanno ritardando di fatto il rilascio delle patch per la versione self-hosted di VSA (l’attacco, lo ricordiamo, ha coinvolto circa 60 clienti su 35.000 di Kaseya che utilizzano la versione on-premise della piattaforma, molti dei quali sono fornitori che erogano servizi terzi utilizzando VSA per gestire le reti di altre aziende).

Evento in presenza
SAP NOW, 20 ottobre | Sostenibilità e innovazione per un ecosistema digitale che rispetta il pianeta
Cloud
Datacenter

Nel frattempo, i ricercatori del Malwarebytes Threat Intelligence hanno identificato due campagne malspam in atto che “sfruttano l’attacco ransomware Kaseya VSA per rilasciare CobalStrike. L’e-mail contiene un allegato chiamato “SecurityUpdates.exe” e un collegamento che finge di essere un aggiornamento di sicurezza di Microsoft per correggere la vulnerabilità di Kaseya”.

Così recita il post pubblicato dai ricercatori di sicurezza su Twitter e relativo alla diffusione della backdoor CobaltStrike. Nello stesso post i ricercatori hanno inserito anche lo screenshot di un campione dell’e-mail trappola e alcuni indici di compromissione:

  • CobaltStrike Payload: 5de6ec9265f79a31a9845c8a504d28f0
  • Download URL: http:// 45. 153. 241[.] 113/download/pload.exe
  • CobaltStrike C2: 31.42.177[.]52

Un campione di e-mail truffa che invita a scaricare il finto aggiornamento Kaseya contenente la backdoor CobaltStrike.

L’e-mail diffusa dai criminali per indurre le potenziali vittime a scaricare il malware Dridex spacciandolo per un aggiornamento di Kaseya VSA.

Con questo stratagemma e usando il tono di urgenza tipico delle campagne malspam, i criminal hacker riescono a indurre le ignare vittime a dare seguito, in un modo o nell’altro, al falso aggiornamento di sicurezza sui propri dispositivi.

In realtà, procedendo con l’upgrade, non fanno altro che consentire agli attaccanti di ottenere un accesso remoto persistente e illecito ai sistemi target.

E il ritardo accumulato da Kaseya nel distribuire una correzione per lo zero-day di VSA, potrebbe involontariamente contribuire a fare cadere nel tranello molti dei propri clienti.

Uso illecito di CobaltStrike: nuova tendenza del cyber crime

CobaltStrike, lo ricordiamo, è uno strumento legittimo e disponibile in commercio utilizzato lecitamente dai penetration tester per verificare il livello di sicurezza delle infrastrutture IT.

Infatti, se usato legittimamente, consente di simulare uno scenario di attacco, ma purtroppo già da qualche tempo gli attori malevoli hanno capito come trasformare CobaltStrike in una arma per esfiltrare dati e distribuire malware di secondo livello che sfuggono al rilevamento.

Il suo utilizzo improprio e criminale è aumentato in particolare dopo che il codice sorgente dello strumento è stato trapelato dalla piattaforma GitHub nel 2020. Tale evento ha portato nei mesi successivi ad un incremento dello smercio di versioni pirata di CobaltStrike, ad opera sia di noti gruppi APT (APT41, FIN7, Mustang Panda e Ocean Lotus) che di operatori di malware generici. Ma già qualche mese prima il team Cisco Talos Incident Response (CTIR) nel suo rapporto periodico registrava un trend in aumento, nelle bande dei ransomware, nel fare sempre più affidamento sullo strumento CobaltStrike come testa di ponte nei propri attacchi.

L’evoluzione delle tecniche di attacco, purtroppo, sta seguendo una linea ben precisa, allo scopo di ridurre le probabilità di rilevamento con i tradizionali strumenti di protezione, puntando sempre più sul riutilizzo per fini malevoli di quegli strumenti di hacking leciti e impiegati dagli esperti di sicurezza.

In tal senso, una ricerca Proofpoint ha messo in evidenza come gli attacchi sferrati con CobaltStrike siano aumentati del 161% nel biennio 2019-2020, continuando a confermarsi nel 2021 una reale minaccia.

Finti aggiornamenti Kaseya: consigli di sicurezza

Non è una novità che i cyber criminali sfruttino tecniche di phishing con tematiche correlate a eventi contemporanei per capitalizzare con l’inganno il successo delle loro campagne malspam.

Questa volta, per aggiungere un senso di urgenza, si sta propinando la presunta installazione in scadenza di finti aggiornamenti, come già accaduto del resto nello scorso mese di giugno con una campagna simile che affermava di aiutare a rilevare e bloccare le infezioni dovute all’attacco ransomware subito dal colosso Colonial Pipeline.

Le conseguenze di un’infezione proveniente da malspam dipendono, ovviamente, dal tipo di malware ricevuto. Non esiste, quindi, una regola di difesa precisa contro questo tipo di minaccia, per cui occorre mantenere sempre alta l’attenzione.

Per difendersi dal malspam è quindi utile seguire anche delle regole generali dettate dal buon senso:

  • non scaricare o visualizzare mai gli allegati di mittenti sconosciuti;
  • trattare sempre gli allegati di mittenti conosciuti come eventualmente sospetti, a meno che le informazioni non siano state esplicitamente richieste;
  • non eseguire mai file eseguibili allegati alle email, a meno di non essere assolutamente certi della provenienza;
  • se si dovesse aprire il documento in allegato e questi consiglia diversamente, non bisogna mai abilitare le macro all’interno dei prodotti Office;
  • in caso di dubbio, contattare il mittente prima di aprire l’allegato per chiedere ulteriori informazioni;
  • eseguire sempre la scansione degli allegati con un buon antivirus aggiornato con le ultime firme virali.

Infine, per tutte le aziende il consiglio è quello di mantenere alto il livello di consapevolezza degli dei propri utenti e dipendenti, avvisandoli periodicamente delle minacce in corso, utilizzando dove possibile un team di esperti per salvaguardare la sicurezza informatica del perimetro dell’organizzazione stessa.

Come difendersi dal malware Dridex

Nel caso della campagna malspam che sta distribuendo il malware Dridex valgono, ovviamente, gli stessi consigli di sicurezza appena visti.

Inoltre, il CERT-AgID ha già rilasciato gli Indicatori di Compromissione (IoC) per favorirne la loro diffusione e rendere pubblici i dettagli della campagna malevola.

Si consiglia, quindi, di integrarli al più presto nei propri sistemi di sicurezza e formare i propri dipendenti in merito alle nuove minacce cyber a tema Kaseya.

17 novembre, milano
Scopri Insight e Tips & Tricks dai migliori professionisti di settore: un evento unico ti aspetta!
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr