Tre giorni dopo che gli aggressori ransomware hanno iniziato il fine settimana festivo compromettendo Kaseya VSA, abbiamo un'idea più chiara di quanto sia stato diffuso l'impatto. In una nuova richiesta di riscatto, gli aggressori affermano di aver compromesso più di 1 milione di computer e chiedono 70 milioni di dollari per decrittografare i dispositivi interessati.
Il software di Kaseya viene utilizzato dai fornitori di servizi gestiti per eseguire attività IT in remoto, ma il 2 luglio il gruppo ransomware REvil collegato alla Russia ha distribuito un aggiornamento software dannoso che espone i provider che utilizzano la piattaforma e i loro clienti.
L'Istituto olandese per la divulgazione delle vulnerabilità (DIVD) ha rivelato che sembra che l'exploit utilizzato per la violazione fosse lo stesso che avevano scoperto e che stavano affrontando quando gli aggressori hanno colpito. “Stavamo già conducendo un'ampia indagine sugli strumenti di backup e amministrazione del sistema e sulle loro vulnerabilità”, ha scritto DIVD. “Uno dei prodotti su cui stiamo indagando è Kaseya VSA. Abbiamo scoperto gravi vulnerabilità in Kaseya VSA e le abbiamo segnalate a Kaseya, con la quale siamo stati in contatto regolare da allora”.
Ci aspettiamo che l'intera portata delle organizzazioni delle vittime sia superiore a quanto riportato da qualsiasi singola società di sicurezza.
Venerdì, il CEO di Kaseya Fred Vocolla ha dichiarato che “Solo una percentuale molto piccola dei nostri clienti è stata colpita, attualmente stimata in meno di 40 in tutto il mondo”. Il vicepresidente di Sophos Ross McKerchar ha dichiarato domenica in una dichiarazione che “Questo è uno degli attacchi ransomware criminali di più vasta portata che Sophos abbia mai visto. In questo momento, le nostre prove mostrano che sono stati colpiti più di 70 fornitori di servizi gestiti, con conseguente ulteriore impatto di oltre 350 organizzazioni. Ci aspettiamo che l'intera portata delle organizzazioni delle vittime sia superiore a quanto riportato da qualsiasi singola società di sicurezza.”
Il vice consigliere per la sicurezza nazionale per le tecnologie informatiche e emergenti Anne Neuberger ha fatto seguito ai precedenti commenti del presidente Biden, affermando che “L'FBI e la CISA raggiungeranno le vittime identificate per fornire assistenza sulla base di una valutazione del rischio nazionale”.
Huntress Labs sta partecipando alla risposta all'attacco e ha catalogato la maggior parte delle informazioni disponibili, affermando che l'attacco ha compromesso oltre 1.000 aziende che sta monitorando.
:no_upscale()/cdn.vox-cdn.com/uploads /chorus_asset/file/22700229/revil_blog.png "Gli aggressori ransomware Kaseya chiedono 70 milioni di dollari, affermando di aver infettato oltre un milione di dispositivi")
REvil riscatto richiedi Sophos I server cloud SaaS di Kaseya rimangono offline
Sophos, Huntress e altri hanno indicato questo post (sopra) su “Happy Blog” di REvil, sostenendo che più di un milione di dispositivi sono stati infettati e impostando una richiesta di riscatto di $ 70 milioni in Bitcoin per sbloccarli tutti. REvil è stato collegato a una serie di incidenti ransomware, tra cui un attacco che ha coinvolto Kaseya nel giugno 2019 e un incidente di alto profilo all'inizio di quest'anno contro il fornitore di carne JBS. Tuttavia, il ricercatore di sicurezza Marcus Hutchins ha espresso scetticismo sull'affermazione del gruppo, suggerendo che stanno sopravvalutando l'impatto nella speranza di ottenere un grosso compenso da Kaseya o qualcun altro
Finora, una volta Le aziende più colpite dall'attacco sono Coop, una linea di oltre 800 negozi di alimentari in Svezia che ha chiuso sabato mentre l'attacco ha spento i suoi registratori di cassa. Secondo una nota sul suo sito Web, i negozi in cui i clienti possono fare acquisti utilizzando Scan & L'app Pay mobile è stata riaperta, mentre altre sedi restano chiuse. Gli esperti hanno previsto che martedì, quando i lavoratori torneranno negli uffici negli Stati Uniti, potrebbero essere scoperte altre vittime.
Tre giorni dopo l'attacco, i server cloud SaaS di Kaseya rimangono offline. La società afferma che questa sera fornirà una cronologia aggiornata per il ripristino del server, nonché ulteriori dettagli tecnici dell'attacco per aiutare gli sforzi di ripristino da parte dei clienti e dei ricercatori di sicurezza.