• admin

Mega attacco ransomware mondiale, via Kaseya: perché è allarme rosso

Lo chiamano già il più grande attacco ransomware della storia quello che partendo dall’infezione di Kaseya, società che fornisce sistemi di monitoraggio della rete, si sta diffondendo a centinaia di suoi clienti, potenzialmente mettendo a rischio già – forse – milioni di pc.

Lo chiamano già il più grande attacco ransomware della storia. E speriamo che sia eccesso di pessimismo. Partendo dall’infezione di Kaseya, società che fornisce sistemi di monitoraggio della rete, si sta diffondendo a centinaia di suoi clienti, potenzialmente mettendo a rischio già – forse – milioni di pc secondo le prime stime.


Il loro software, VSA, è stato colpito dal gruppo cybercrime REvil già noto per attacchi mirati a importanti aziende (come i fornitori Apple).


Kaseya ha riferito che circa 40 suoi clienti (provider/fornitori IT) sono stati colpiti dal ransomware e consiglia di spegnare i suoi sistemi. Chiunque li sui ora è a rischio.


“Se ogni provider cliente di Kaseya ha 500 clienti (aziende) e che ogni azienda ha cinque server e 100 pc monitorati con VSA, significa che REvil colpendo un solo obiettivo ha a disposizione circa 100.000 server e 2 milioni di PC infettati da ransomware”, dice il professionista di cybersecurity Marco Govoni, spiegando l’effetto a catena che rende quest’attacco così pericoloso su scala globale.


La memoria corre già a Wannacry che si è diffuso incontrollato come una pandemia arrivando a mettere in ginocchio anche ospedali. Se fosse successo durante il covid sarebbe stato il disastro. Speriamo che non sia il destino di questo ransomware, quando ancora il mondo non è libero dallo spettro del coronavirus.


L'attacco ransomware a Kaseya

L’attaccoo si è diffuso ad almeno 200 organizzazioni, secondo la società di cybersecurity Huntress Labs, secondo cui è già uno dei più grandi attacchi criminali ransomware della storia.


L’attacco è stato rivelato per la prima volta venerdì pomeriggio – non a caso durante il periodo delle festività americane del 4 luglio, quando meno esperti IT aziendali sono presenti per arginare il problema.


Dal momento che questi clienti Kaseya gestiscono centinaia o migliaia di aziende, non è chiaro quanti saranno vittime del ransomware durante il fine settimana. Certo il numero è destinato a salire.


Le conseguenze

Tra le prime conseguenze, una delle più grandi catene alimentari svedesi, Coop, ha temporaneamente chiuso quasi tutti i suoi quasi 800 negozi perché è stata catturata dall’attacco.


Il software utilizzato per crittografare i computer delle vittime sembra simile al tipo normalmente utilizzato da REvil, una banda ransomware in gran parte composta da russofoni.


Eric Goldstein, assistente direttore esecutivo della CISA per la sicurezza informatica, ha detto che la sua agenzia e l’FBI hanno iniziato a valutare lo scenario.


“La CISA sta monitorando da vicino questa situazione e stiamo lavorando con l’FBI per raccogliere informazioni sul suo impatto”, ha detto Goldstein in una dichiarazione via e-mail.

“Incoraggiamo tutti coloro che potrebbero essere colpiti ad impiegare le mitigazioni raccomandate e gli utenti a seguire la guida di Kaseya”, ha detto.


Perché quello a Kaseya è una attacco ransomware molto pericoloso

“La portata di un attacco come quello subito da Kaseya può essere enorme perché assume il comportamento di in “worm”, così come WannaCry alcuni anni fa”, spiega il noto consulente forense Paolo dal Checco a Cybersecurity360.it. “L’infezione si diffonde in modo automatico, capillare, raggiungendo i rivenditori dei servizi e, tramite essi, gli utenti finali, senza che sia necessario intervento umano né da parte degli attaccanti né delle vittime”.


Si può solo "staccare il filo"

“La soluzione, quindi, almeno almeno nelle prime fasi non può essere altro che isolare il sistema oppure. una volta compreso il vettore/canale di attacco e predisposte delle contromisure – aggiornare i sistemi per evitare gli update contenenti il malware. La situazione sta peraltro peggiorando: la rapidità e ampiezza delle infezioni, combinata con il periodo del week-end del 4 luglio scelto per l’attacco, sta creando intasamenti nei centri di assistenza e nei provider che non riescono a gestire le richieste delle vittime del ransomware”, dice Dal Checco.


Un’ultima, anche se ovvia, considerazione: gli attacchi ransomware sono un pericolo in rapida crescita, potenzialmente destabilizzante per le infrastrutture economiche e sociali di un Paese. Gli Stati Uniti (vedi) stanno potenziando la propria strategia dopo i recenti casi Solarwinds.



Fonta: CyberSecurity360


0 visualizzazioni0 commenti