Un attacco alla catena di approvvigionamento su Kaseya, che offre servizi remoti ai provider IT, potrebbe aver infettato aziende in tutto il mondo.
Foto: ROB ENGELAAR/ANP/AFP (Getty Images)< p class="sc-77igqf-0 bOfvBY">Un attacco ransomware alla società IT internazionale Kaseya sembra aver infettato centinaia di aziende di piccole dimensioni che si affidano al prodotto dell'azienda, tra cui molte con sede negli Stati Uniti
Venerdì, Kaseya ha rivelato di essere stata vittima di un “potenziale attacco”, il che implica che gli hacker stavano in qualche modo prendendo di mira gli utenti del suo prodotto locale VSA. I clienti devono chiudere VSA “IMMEDIATAMENTE”, si legge in un avviso.
Sebbene la società abbia affermato che l'attacco è “limitato a un numero limitato” di clienti, la posizione di Kaseya in un ecosistema IT più ampio significa che gli effetti di questo attacco potrebbero essere piuttosto ampi, rendendolo potenzialmente uno dei più grandi attacchi ransomware della storia.< /p>
Kaseya vende i suoi prodotti a società note come provider di servizi gestiti (MSP), società che forniscono servizi IT remoti a centinaia di aziende di piccole dimensioni che non dispongono delle risorse per condurre tali processi internamente. Gli MSP utilizzano la piattaforma cloud VSA di Kaseya per gestire e inviare aggiornamenti software ai propri clienti, nonché per gestire altri problemi degli utenti.
Tuttavia, sembrerebbe che una banda di ransomware stia abusando di VSA “usando un aggiornamento dannoso” per distribuire ransomware a “aziende in tutto il mondo”, riporta il Record. Sebbene non sia chiaro l'esatto meccanismo dell'attacco o come e quando si è verificato, gli esperti di sicurezza riferiscono che il ransomware sta colpendo non solo gli MSP che utilizzano VSA, ma anche i loro client. In altre parole, il ransomware sembra aver infettato centinaia di aziende di piccole dimensioni che si affidano agli MSP per il supporto IT.
G/O Media potrebbe ricevere una commissione
Apple Watch Series 5 Stainless Steel (LTE 40 mm)$ 526 su Amazon
La società di sicurezza Huntress ha dichiarato a Gizmodo che tre dei suoi clienti, che sono MSP e utilizzano VSA, sono stati colpiti dall'attacco e che, di conseguenza, fino a 200 piccole imprese che si affidano a tali MSP sono state colpite dalla crittografia.
“Siamo a conoscenza di quattro MSP in cui tutti i clienti sono interessati: 3 negli Stati Uniti e uno all'estero. Gli MSP con oltre migliaia di endpoint vengono colpiti”, ha affermato John Hammond, ricercatore senior sulla sicurezza presso Huntress. “Quando un MSP è compromesso, abbiamo visto la prova che si è diffuso attraverso il VSA in tutti i clienti dell'MSP.”
Hammond ha aggiunto che: “Sulla base di tutto ciò che stiamo vedendo in questo momento, crediamo fermamente che questo [sia] REvil/Sodinikibi”.
REvil è un'importante banda di criminali informatici che ha utilizzato il ransomware per perseguire obiettivi di alto profilo, tra cui Apple e Acer. Si crede anche che sia la banda che ha attaccato il fornitore di carne JBS, estorcendo con successo al grande fornitore di carne bovina per 11 milioni di dollari.
Il cane da guardia federale americano per la sicurezza informatica, la Cybersecurity and Infrastructure Security Agency, ha annunciato venerdì che stava “prendendo provvedimenti per comprendere e affrontare il recente attacco ransomware alla catena di approvvigionamento contro Kaseya VSA e i molteplici fornitori di servizi gestiti (MSP) che utilizzano il software VSA.”
“CISA incoraggia le organizzazioni a rivedere l'advisory Kaseya e a seguire immediatamente le loro indicazioni per chiudere VSA server”, ha affermato l'agenzia.
Lucas RopekPostsTwitter
Scrittore personale presso Gizmodo