Lo chiamano già il più grande attacco ransomware della storia. E speriamo che sia eccesso di pessimismo. Partendo dall’infezione di Kaseya, società che fornisce sistemi di monitoraggio della rete, si sta diffondendo tra i suoi clienti potenzialmente mettendo a rischio già – forse – milioni di pc secondo le prime stime.
Il loro software, VSA, è stato colpito dal gruppo cybercrime REvil già noto per attacchi mirati a importanti aziende (come i fornitori Apple) mediante un attacco i cui dettagli tecnici sono stati analizzati dal CERT-AgID.
Kaseya ha riferito che circa 60 suoi clienti (provider/fornitori IT) sono stati colpiti dal ransomware e consiglia di spegnare i suoi sistemi. Chiunque li usi ora è a rischio. Da Kaseya stessa riconoscono che 1.500 mila aziende – utilizzatrici di software dei clienti di Kaseya – sono state impattate a cascata. Alcune anche italiane.
Attacco ransomware alla supply chain di Apple: rubati i progetti di nuovi dispositivi
“Se ogni provider cliente di Kaseya ha 500 clienti (aziende) e che ogni azienda ha cinque server e 100 pc monitorati con VSA, significa che REvil colpendo un solo obiettivo ha a disposizione circa 100.000 server e 2 milioni di PC infettati da ransomware”, dice il professionista di cybersecurity Marco Govoni, spiegando l’effetto a catena che rende quest’attacco così pericoloso su scala globale.
La memoria corre già a Wannacry che si è diffuso incontrollato come una pandemia arrivando a mettere in ginocchio anche ospedali. Se fosse successo durante il covid sarebbe stato il disastro. Speriamo che non sia il destino di questo ransomware, quando ancora il mondo non è libero dallo spettro del coronavirus.
Indice degli argomenti
L’attacco ransomware a Kaseya
L’attacco si è diffuso ad almeno 200 organizzazioni, secondo la società di cybersecurity Huntress Labs, secondo cui è già uno dei più grandi attacchi criminali ransomware della storia.
L’attacco è stato rivelato per la prima volta venerdì pomeriggio – non a caso durante il periodo delle festività americane del 4 luglio, quando meno esperti IT aziendali sono presenti per arginare il problema.
Dal momento che questi clienti Kaseya gestiscono centinaia o migliaia di aziende, non è chiaro quanti saranno vittime del ransomware durante il fine settimana. Certo il numero è destinato a salire.
I riscatti
Huntress Labs riporta che alcune delle aziende hanno ricevuto richieste da 5 milioni di dollari per il riscatto dei dati.
Inoltre gli hacker detto domenica tardi sul loro blog che vogliono 70 milioni di dollari (59 milioni di euro) in Bitcoin per rilasciare pubblicamente quello che chiamano un “decrittatore universale”.
Le conseguenze, anche in Italia
Tra le prime conseguenze, una delle più grandi catene alimentari svedesi, Coop, ha temporaneamente chiuso quasi tutti i suoi quasi 800 negozi perché è stata catturata dall’attacco. Il software utilizzato per crittografare i computer delle vittime sembra simile al tipo normalmente utilizzato da REvil, una banda ransomware in gran parte composta da russofoni.
Una prima azienda italiana confermata vittima (il 6 luglio) è l’albese Miroglio, che ha avuto la rete parzialmente bloccata.
Eric Goldstein, assistente direttore esecutivo della CISA per la sicurezza informatica, ha detto che la sua agenzia e l’FBI hanno iniziato a valutare lo scenario.
“La CISA sta monitorando da vicino questa situazione e stiamo lavorando con l’FBI per raccogliere informazioni sul suo impatto”, ha detto Goldstein in una dichiarazione via e-mail.
“Incoraggiamo tutti coloro che potrebbero essere colpiti ad impiegare le mitigazioni raccomandate e gli utenti a seguire la guida di Kaseya”, ha detto.
Com’è potuto succedere l’attacco a Kaseya (update del 5 luglio)
Le vittime della violazione sono state colpite attraverso un aggiornamento del software Kaseya, secondo quanto analizzato da Kevin Beaumont, un ricercatore di minacce. Invece di ricevere l’ultimo aggiornamento di Kaseya, hanno ricevuto il ransomware di REvil. Una tecnica usata anche nel caso Solarwinds.
Kaseya è stata inizialmente violata attraverso una vulnerabilità precedentemente sconosciuta nei suoi sistemi – conosciuta come “zero day” perché quando tali vulnerabilità vengono scoperte, i produttori di software hanno zero giorni per risolverle. Nel frattempo, i criminali informatici e le spie possono utilizzare la vulnerabilità per scatenare il caos.
Beaumont ha detto che l’attacco ha segnato una grave escalation nelle tattiche delle bande di ransomware. Negli attacchi precedenti, REvil era noto per entrare attraverso una combinazione di phishing, password rubate o una mancanza di autenticazione multifattoriale.
I ricercatori olandesi hanno detto di aver segnalato la vulnerabilità a Kaseya, ma la società stava ancora lavorando su una patch quando è stata violata e i suoi aggiornamenti software sono stati compromessi.
Perché quello a Kaseya è un attacco ransomware molto pericoloso
“La portata di un attacco come quello subito da Kaseya può essere enorme perché assume il comportamento di in “worm”, così come WannaCry alcuni anni fa”, spiega il noto consulente forense Paolo dal Checco a Cybersecurity360.it. “L’infezione si diffonde in modo automatico, capillare, raggiungendo i rivenditori dei servizi e, tramite essi, gli utenti finali, senza che sia necessario intervento umano né da parte degli attaccanti né delle vittime”.
Si può solo “staccare il filo”
“La soluzione, quindi, almeno almeno nelle prime fasi non può essere altro che isolare il sistema oppure. una volta compreso il vettore/canale di attacco e predisposte delle contromisure – aggiornare i sistemi per evitare gli update contenenti il malware. La situazione sta peraltro peggiorando: la rapidità e ampiezza delle infezioni, combinata con il periodo del week-end del 4 luglio scelto per l’attacco, sta creando intasamenti nei centri di assistenza e nei provider che non riescono a gestire le richieste delle vittime del ransomware”, dice Dal Checco.
Le azioni di mitigazione consigliate (update 5 luglio)
Arrivano nei giorni successivi alcuni consigli più avanzati. Seguendo le indicazioni fornite da Kaseya sulla pagina dedicata alla pubblicazione degli aggiornamenti e ai risultati delle proprie analisi, e in attesa del rilascio degli aggiornamenti di sicurezza – che andranno installati manualmente, come indicato nel bollettino di sicurezza – lo CSIRT Italia consiglia di implementare le seguenti misure di mitigazione:
- implementare l’autenticazione multifattore su tutti gli account gestiti;
- proteggere l’accesso alle infrastrutture RMM (Remote Management and Monitoring) attraverso l’implementazione di connessioni VPN o specificando i soli indirizzi IP autorizzati (whitelist);
- verificare di essere in possesso di backup aggiornati e funzionanti, avendo cura di conservarli fisicamente e/o logicamente disconnessi dalla rete IT aziendale;
- procedere alla gestione manuale del ciclo di patching delle proprie infrastrutture fino alla risoluzione della problematica;
- implementare il modello least-priviledge su tutti gli account utilizzati all’interno dell’organizzazione
- valutare l’implementazione sui propri apparati di sicurezza degli Indicatori di Compromissione (IoC) forniti in allegato.
Il tool per verificare la compromissione dei server VSA
Sempre in attesa del rilascio degli aggiornamenti di sicurezza, la stessa Kaseya consiglia anche di verificare l’eventuale compromissione dei propri server utilizzando il tool VSA Detection appositamente realizzato.
È sufficiente collegarsi al sito dedicato e cliccare sul pulsante Download in alto a destra per scaricare il file VSA Detection Tools.zip. Al suo interno è contenuto anche anche il file Instructions.pdf con una semplice guida pratica sull’uso dello strumento di diagnostica.
In conclusione
Un’ultima, anche se ovvia, considerazione: gli attacchi ransomware sono un pericolo in rapida crescita, potenzialmente destabilizzante per le infrastrutture economiche e sociali di un Paese. Gli Stati Uniti (vedi) stanno potenziando la propria strategia dopo i recenti casi Solarwinds.
L’Italia si è svegliata su questo fronte (vedi sotto). Speriamo che non sia troppo tardi per evitare vittime importanti.
Ecco l’Agenzia per la cybersicurezza nazionale: come cambia la sicurezza cibernetica dell’Italia
“Nel corso della discussione dell’attuale Disegno di Legge sull’Architettura della nascitura Agenzia per la CyberSecurity Italiana, l’attacco supply-chain eseguito contro la Kaseya mette in evidenza e sottolinea la varietà e la tipologia di problemi che la stessa si troverà a fronteggiare”, conferma Nicola Grandis, CEO della società di security Asc27. “Eventi sempre più globali, vettori di attacco sempre più sofisticati e gruppi criminali organizzati, quando non direttamente State-Sponsored. L’utilizzo spinto di tecnologia Monero per la raccolta dei fondi frutto delle estorsioni, il rapporto tra individui che utilizzano tecniche molto spinte per proteggere le loro identità, fa si che l’approccio Seek&Destroy sortisca un’efficacia limitata”.
“Servono strumenti nuovi – propone Grandis – , probabilmente anche volontà politica e spirito di sacrificio per evitare che il business dei Ransomware diventi simile a quello del Narcotraffico per volume. Noi in Italia lo sappiamo bene, siamo usciti da 50 anni di sequestri di persona con l’applicazione stretta della norma sul congelamento dei beni dei familiari; senza una politica che renda il costo dell’attacco superiore all’aspettativa dell’incasso, il già florido mercato del Ransomware è destinato solo ad incrementare la propria capacità. Arduo compito, grande sfida. Buon lavoro Agenzia Nazionale per la Sicurezza Cybernetica”.
