Gli esperti di sicurezza hanno identificato più di 1.000 aziende i cui server sono stati crittografati dopo un attacco alla supply chain contro l'azienda IT Kaseya.
Foto: Mandel Ngan (Getty Images)Il presidente Joe Biden ha ordinato alle agenzie di intelligence statunitensi di indagare sul sofisticato attacco ransomware che ha irretito più di 1.000 aziende in tutto il mondo, ha detto ai giornalisti sabato durante un viaggio in Michigan per promuovere la sua infrastruttura pacchetto.
In quello che si preannuncia essere uno dei più grandi attacchi ransomware della storia, gli hacker hanno dirottato un software di gestione ampiamente utilizzato dalla società IT internazionale Kaseya per inviare un “aggiornamento dannoso” per distribuire il suo malware “alle aziende di tutto il mondo”, The Record riporta.
“Non siamo sicuri” di chi ci sia dietro l'attacco di venerdì, ha detto Biden. “Il pensiero iniziale era che non fosse il governo russo, ma non ne siamo ancora sicuri”. Ha aggiunto che gli Stati Uniti risponderebbero se determinano che la colpa è della Russia.
Il colpevole è sospettato di essere REvil, un famigerato sindacato di criminali informatici che si ritiene abbia legami con la Russia e che in precedenza ha inseguito obiettivi di alto profilo come Apple e Acer, secondo alla società di sicurezza Huntress Labs. Si ritiene inoltre che il gruppo sia responsabile dell'attacco riuscito del mese scorso alla più grande azienda di lavorazione della carne del mondo, la JBS, che ha estorto 11 milioni di dollari in riscatto.
Venerdì, Kaseya ha avvertito i clienti di spegnere i propri server VSA subito dopo aver scoperto un incidente di sicurezza che coinvolgeva il software. Kaseya utilizza la sua piattaforma cloud VSA per gestire e inviare aggiornamenti software ai dispositivi di rete della sua clientela, ad esempio fornitori di servizi gestiti o MSP che quindi forniscono servizi IT remoti a centinaia di piccole imprese che non sono in grado di condurre tali processi internamente.
G/O Media potrebbe ricevere una commissione
Carta temporale di 60 giorni di World of Warcraft$24 su EnebaUtilizza il codice promozionale 20210704
I meccanismi esatti e la portata dell'attacco vengono ancora scoperti, ma gli esperti di sicurezza ritengono che gli hacker abbiano sfruttato il prodotto VSA di Kaseya per diffondere malware e crittografare i file dei clienti di quei provider. Il CEO di Kaseya Fred Voccola ha dichiarato in un aggiornamento venerdì che la società crede di aver trovato la fonte della vulnerabilità e prevede di rilasciare una patch “il più rapidamente possibile per riportare i nostri clienti operativi”. All'epoca, ha affermato che meno di 40 clienti di Kaseya erano noti per essere colpiti.
Tuttavia, considerando quanti di questi clienti potrebbero essere MSP, ciò potrebbe tradursi in centinaia di piccole imprese che si affidano ai loro servizi a rischio. Huntress, che ha monitorato pubblicamente l'attacco, ha dichiarato tramite Reddit di aver identificato più di 1.000 aziende i cui server e workstation sono stati crittografati a seguito dell'attacco. Una presunta vittima della violazione, il rivenditore svedese Coop, ha chiuso almeno 800 negozi nel fine settimana dopo che i suoi sistemi sono stati messi offline, riporta il New York Times. Il ricercatore senior della sicurezza di Huntress, John Hammond, ha dichiarato al punto vendita che gli hacker stavano chiedendo un riscatto di $ 5 milioni da alcune delle società colpite.
“Questo è un attacco colossale e devastante alla catena di approvvigionamento”, ha dichiarato Hammond in una dichiarazione a Reuters. Gli attacchi alla supply chain, in cui gli hacker sfruttano un singolo software per colpire centinaia o addirittura migliaia di utenti contemporaneamente, stanno rapidamente diventando la tecnica de jour per i criminali informatici di alto profilo. Gli hacker di SolarWinds hanno utilizzato uno schema simile per infettare il software di gestione della rete utilizzato da diverse importanti agenzie e società federali degli Stati Uniti.
In un aggiornamento pubblicato sul blog di Kaseya domenica mattina, la società ha affermato che sta lavorando con l'FBI e la Cybersecurity and Infrastructure Security Agency per affrontare la situazione e i clienti interessati.
“Stiamo formulando un ritorno graduale al servizio delle nostre server farm [software as a service] con funzionalità limitate e un livello di sicurezza più elevato (stimato nelle prossime 24-48 ore ma soggetto a modifiche) su un base geografica”, ha scritto la società. “Maggiori dettagli su entrambe le limitazioni, le modifiche alla posizione di sicurezza e l'intervallo di tempo saranno nel prossimo comunicato più tardi nella giornata di oggi”.
Kaseya ha aggiunto di aver lanciato un nuovo “strumento di rilevamento dei compromessi” a quasi 900 clienti che lo hanno richiesto e sta sviluppando un sito di download privato per fornire l'accesso a più clienti.
Alyse StanleyPostsEmailTwitter
Mi occupo di tecnologia e videogiochi per siti come Gizmodo, Polygon, The IndieGameWebsite e altri. Gli hobby includono fare un pisolino ed essere alti.