REvil ransomware contro Kaseya, impatto limitato

REvil ransomware contro Kaseya, impatto limitato

Kaseya ha fornito ulteriori dettagli sull'attacco ransomware dello scorso weekend, attribuito al noto gruppo di cybercriminali REvil.
REvil ransomware contro Kaseya, impatto limitato
Kaseya ha fornito ulteriori dettagli sull'attacco ransomware dello scorso weekend, attribuito al noto gruppo di cybercriminali REvil.

Kaseya ha fornito un aggiornamento sull’attacco ransomware contro la sua piattaforma di gestione dei servizi IT. L’azienda statunitense afferma che sono stati colpiti solo 50 MSP (Managed Service Provider) e tra 800 e 1.500 aziende di piccole e medie dimensioni. La Portavoce della Casa Bianca ha dichiarato che gli Stati Uniti agiranno direttamente, se il governo russo non farà nulla per bloccare i cybercriminali.

Attacco ransomware: aggiornamenti da Kaseya

L’attacco ransomware, attribuito al gruppo REvil, è stato eseguito il 2 luglio contro alcuni MSP che utilizzano la piattaforma Kaseya VSA per la gestione IT dei sistemi informatici di varie aziende. In seguito alle segnalazioni ricevute, l’azienda della Florida ha chiesto ai clienti di spegnere i server per evitare la diffusione del malware. Come soluzione preventiva è stata disattivata anche l’infrastruttura SaaS.

I cybercriminali hanno sfruttato le vulnerabilità di Kaseya VSA per aggirare l’autenticazione ed eseguire codice arbitrario. Il ransomware è stato quindi distribuito attraverso un finto aggiornamento software. REvil ha chiesto un riscatto fino a 70 milioni di dollari (il prezzo è recentemente sceso a 50 milioni) per un “universal decryptor” (pagamento in Bitcoin o Monero).

Kaseya afferma che sono stati colpiti circa 50 MSP su oltre 35.000 e solo un numero limitato di aziende (tra 800 e 1.500) sulle 800.000-1.000.000 gestite dai MSP. L’azienda ha chiesto la collaborazione di FireEye e comunicato l’accaduto a CISA, FBI e Casa Bianca.

Kaseya ha rilasciato un Compromise Detection Tool che permette di analizzare i sistemi per rilevare la presenza del ransomware. FBI e CISA hanno pubblicato un elenco di consigli per i MSP, tra cui l’attivazione dell’autenticazione multi-fattore.

Ufficialmente l’attacco ransomware non è stato attribuito a nessuno, ma gli esperti di sicurezza credono che sia opera del gruppo REvil con base in Russia. La Portavoce della Casa Bianca, Jen Psaki, ha dichiarato che ci sarà un incontro con il governo russo nei prossimi giorni. Se il Cremlino non farà nulla contro questi cybercriminali, gli Stati Uniti provvederanno in prima persona.

Fonte: Kaseya
Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il 7 lug 2021
Link copiato negli appunti