Appena in tempo per rovinare il fine settimana festivo, gli aggressori ransomware hanno apparentemente utilizzato Kaseya, una piattaforma software progettata per aiutare a gestire i servizi IT in remoto, per fornire il loro carico utile. Il direttore di Sophos e hacker etico, Mark Loman, ha twittato oggi sull'attacco e ora riferisce che i sistemi interessati richiederanno $ 44.999 per essere sbloccati. Una nota sul sito Web di Kaseya implora i clienti di spegnere i loro server VSA per ora “perché una delle prime cose che fa l'attaccante è bloccare l'accesso amministrativo a VSA”.
Notizie Flash: i criminali informatici sono dei $$buchi.
Tieni a mente tutti i team di risposta agli incidenti questo fine settimana festivo perché sono nel bel mezzo… di nuovo.
Se usi Kaseya VSA, spegnilo *ora* finché non ti viene chiesto di riattivarlo e avviare l'IR. Ecco il binario: https://t.co/NIuGJZW84p https://t.co/GSXPlOPjFt
— Chris Krebs (@C_C_Krebs) 2 luglio 2021
Secondo secondo un rapporto di Bleeping Computer, l'attacco ha preso di mira sei grandi MSP e ha crittografato i dati per ben 200 aziende.
Su DoublePulsar, Kevin Beaumont ha pubblicato maggiori dettagli su come sembra funzionare l'attacco, con il ransomware REvil che arriva tramite un aggiornamento di Kaseya e utilizza i privilegi amministrativi della piattaforma per infettare i sistemi. Una volta che i fornitori di servizi gestiti sono stati infettati, i loro sistemi possono attaccare i client per i quali forniscono servizi IT remoti (gestione della rete, aggiornamenti di sistema e backup, tra le altre cose).
In una dichiarazione, Kaseya ha dichiarato a The Verge che “Stiamo indagando su un potenziale attacco contro VSA che indica che è stato limitato a un numero limitato di clienti locali”. Un avviso afferma che tutti i suoi server cloud sono ora in “modalità di manutenzione”, una mossa che, secondo il portavoce, è stata presa a causa di “abbondanza di cautela”.
Stiamo indagando su un potenziale attacco contro VSA che indica che è stato limitato a un numero limitato di clienti locali. Abbiamo spento in modo proattivo i nostri server SaaS per molta cautela.
Stiamo indagando sulla causa principale dell'incidente con la massima vigilanza, abbiamo:
a. Ha informato tutti i nostri clienti in sede di spegnere immediatamente i propri server VSA
b. Spegni i nostri server SaaS
Siamo stati ulteriormente informati del problema da alcune società di sicurezza e stiamo lavorando a stretto contatto anche con loro. Mentre continuiamo a indagare sull'incidente, aggiorneremo i nostri clienti (e le parti interessate) man mano che disponiamo di ulteriori informazioni.
Dana Liedholm – SVP, Corporate Communications Kaseya
L'attacco di oggi è stato collegato alla famigerata banda di ransomware REvil (già collegata agli attacchi contro Acer e il fornitore di carne JBS all'inizio di quest'anno) e The Record osserva che, raccogliendo incidenti sotto più di un nome, questa potrebbe essere la terza volta che il software Kaseya è stato un vettore per i loro exploit.