Lo staff di Kaseya ha lanciato l'allarme sui difetti di sicurezza per anni prima dell'attacco ransomware

38

I dipendenti affermano di aver smesso per la frustrazione o di essere stati licenziati per evidenti problemi di sicurezza informatica che sono stati ignorati.

alysestanleyAlyse StanleyIeri 20:2882Allarmi

Immagine per l'articolo intitolato Lo staff di Kaseya ha lanciato l'allarme sui difetti di sicurezza per anni prima dell'attacco del ransomware Foto: Jack Guez (Getty Images)

I dipendenti hanno avvertito i superiori di Kaseya per anni sui difetti di sicurezza critici nel suo software, ma le loro preoccupazioni sono state spazzate via, hanno detto ex dipendenti a Bloomberg. Diversi membri dello staff si sono dimessi frustrati o sono stati licenziati dopo aver ripetutamente lanciato l'allarme sui fallimenti nelle pratiche di sicurezza informatica dell'azienda IT. Ora, Kaseya è al centro di un massiccio attacco ransomware che ha irretito più di 1.000 aziende in tutto il mondo.

Tra il 2017 e il 2020, i dipendenti hanno segnalato “problemi di sicurezza informatica di vasta portata ” ai loro superiori, sostenendo che Kaseya utilizzava un codice obsoleto, implementava una crittografia scadente e non applicava regolarmente patch al software e ai server, riporta Bloomberg. È quanto affermano cinque ex dipendenti di Kaseya che hanno parlato con l'outlet a condizione di anonimato perché avevano firmato accordi di non divulgazione o temevano ritorsioni.

Due ex dipendenti hanno affermato di aver avvertito i dirigenti delle vulnerabilità nel suo antiquato software Virtual System Administrator, il sistema che gli hacker hanno dirottato per lanciare questo ultimo attacco, che era presumibilmente così pieno di problemi che volevano che fosse sostituito. I clienti di Kaseya, aziende note come provider di servizi gestiti o MSP, forniscono servizi IT remoti a centinaia di piccole imprese e utilizzano server VSA per gestire e inviare aggiornamenti software a questi client.

Secondo i rapporti iniziali, gli hacker hanno ottenuto l'accesso all'infrastruttura di backend di Kaseya per inviare malware camuffato da aggiornamento software ai server VSA in esecuzione presso i client. Da lì, hanno utilizzato l'aggiornamento dannoso per installare ransomware su ogni postazione di lavoro collegata ai sistemi VSA. La banda di ransomware collegata alla Russia REvil si è presa il merito di questo attacco e chiede un riscatto di $ 70 milioni per sbloccare tutti i computer interessati.

Un ex dipendente ha detto a Bloomberg che nel 2019 ha inviato a Kaseya un memo di 40 pagine in cui descriveva i suoi problemi di sicurezza, uno dei tanti tentativi che ha fatto durante il suo mandato per convincere i dirigenti dell'azienda per affrontare tali questioni. È stato licenziato due settimane dopo, una decisione che crede fosse correlata a questi sforzi, ha detto in un'intervista con il punto vendita. Altri hanno smesso per frustrazione dopo che Kaseya sembrava concentrarsi sull'implementazione di nuove funzionalità del prodotto piuttosto che affrontare le vulnerabilità esistenti.

G/O Media potrebbe ricevere una commissione3-Pack: Power Bank Mophie PowerStation con USB-C/A 3-Pack: Power Bank Mophie PowerStation con USB- C/A$ 19 al SideDeal

Un altro ex dipendente ha affermato che Kaseya ha archiviato le password dei clienti non crittografate su piattaforme di terze parti e raramente ha aggiornato il suo software o i suoi server. Quando la società ha iniziato a licenziare i dipendenti nel 2018 per esternalizzare i loro posti di lavoro in Bielorussia, quattro dei cinque lavoratori con cui Bloomberg ha parlato hanno affermato di considerare questa decisione come un potenziale rischio per la sicurezza, data l'influenza della Russia sul paese.

Il software di Kaseya era già stato sfruttato in attacchi ransomware prima, almeno due volte tra il 2018 e il 2019, secondo i dipendenti. Incredibilmente, ciò non era ancora sufficiente per convincerli a ripensare ai loro standard di sicurezza informatica.

Quando è stato contattato per un commento su queste affermazioni dai suoi ex dipendenti, Kaseya ha fornito la seguente dichiarazione a Gizmodo:

“L'attenzione di Kaseya è sui clienti che sono stati colpiti e le persone che hanno dati reali e stanno cercando di andare a fondo di essi, non su speculazioni casuali di ex dipendenti o del resto del mondo.”

Tuttavia, gli hacker hanno sfruttato vulnerabilità simili a quelle descritte qui per lanciare attacchi su larga scala prima, quindi le affermazioni dei dipendenti non sono così difficili da credere. A dicembre, SolarWinds è stata anche presa di mira in un attacco alla catena di approvvigionamento, ovvero quando gli hacker sfruttano le vulnerabilità della sicurezza tra fornitori di software di terze parti per colpire i propri clienti. Fino a 18.000 dei suoi clienti sono stati compromessi, comprese molte importanti agenzie federali e aziende degli Stati Uniti.

Alyse StanleyPostsEmailTwitter

Mi occupo di tecnologia e videogiochi per siti come Gizmodo, Polygon, The IndieGameWebsite e altri. Gli hobby includono fare un pisolino ed essere alti.