Attacco ransomware "colossale e devastante": REvil chiede 70 milioni di $

05 Luglio 2021 161

Un imponente attacco informatico è stato compiuto in queste ultime ore nei confronti di centinaia di aziende americane, proprio nel weekend in cui gli Stati Uniti festeggiano il 4 luglio. L'obiettivo principale è stata Kaseya, società della Florida che fornisce supporto IT a moltissime realtà non solo del Paese, ma anche dell'Europa, dell'America Latina e dell'Australia. "Il 2 luglio verso le 11AM ET diversi server Kaseya VSA sono stati utilizzati per diffondere ransomware", riporta la società di sicurezza informatica Huntress. L'eseguibile agent.exe è in grado di eludere Windows Defender, estendendo l'attacco all'intera rete.

Kaseya ha rivelato di essere riuscita a replicare il vettore d'attacco, dettaglio fondamentale per trovare nel minor tempo possibile soluzioni per la chiusura della falla. "Abbiamo iniziato il processo di correzione del codice e includeremo aggiornamenti regolari sullo stato dei nostri progressi", si legge. Il responsabile dell'attacco sembrerebbe essere ancora una volta REvil: il gruppo russo evidentemente non si è accontentato di prendere di mira Quanta Computer (che fornisce tantissime altre realtà, su tutte Apple) e subito dopo il gigante della carne JBS. Anche in questo caso le proporzioni dell'attacco ransomware sono decisamente importanti.

Si è mosso anche il Governo degli Stati Uniti tramite la Cybersecurity and Infrastructure Security Agency (CISA), che ha rilasciato un comunicato in cui annuncia di essersi attivata per risolvere l'attacco, consigliando a tutte le realtà coinvolte di consultare il sito di Kaseya per restare informati e di spegnere i server VSA. Lo stesso Presidente USA Joe Biden si è espresso, affermando che "il pensiero iniziale era che non fosse il governo russo, ma non ne siamo sicuri". Qualora dovesse esserci dietro Mosca, ha aggiunto, gli Stati Uniti reagiranno in modo fermo.

In attesa di scoprire gli sviluppi, va sottolineato come gli attacchi cybercriminali stiano evolvendo, diventando sempre più pericolosi: quest'ultimo episodio mostra infatti come gli hacker abbiano messo in ginocchio contemporaneamente più realtà. Piuttosto che puntare a un'unica azienda, è meglio andare direttamente alla radice, laddove risulta più facile diffondere il pericolo. Le vittime diventano così ben più di una, addirittura centinaia come in questo caso.

Tra le aziende colpite c'è anche la catena Coop Sweden, che da venerdì sera è stata costretta a chiudere i suoi negozi a scopo preventivo. La società scandinava non si affida direttamente a Kaseya, cosa che invece fanno i suoi provider. Facile vedere dunque come il ransomware si stia diffondendo rapidamente, moltiplicandosi man mano che raggiunge nuove aree della rete infettata. "É un attacco alla supply chain colossale e devastante", ha ammesso un ricercatore della società di sicurezza informatica Huntress.

IL RISCATTO

Ecco arrivare le informazioni sul riscatto, che di fatto confermano la responsabilità di REvil. Sono stati chiesti 70 milioni di dollari per la pubblicazione di uno strumento per decriptare i PC colpiti dall'attacco ransomware che, secondo gli stessi cybercriminali, sarebbero oltre 1 milione. Il messaggio tramite cui viene richiesto il pagamento di 70 milioni di dollari in criptovaluta (il più alto di sempre se andrà in porto) è stato pubblicato sul dark web.


Credits immagine d'apertura: Pixabay


161

Commenti

Regolamento Commentando dichiaro di aver letto il regolamento e di essere a conoscenza delle informazioni e norme che regolano le discussioni sul sito. Clicca per info.
Caricamento in corso. Per commentare attendere...
V4N0
UnoQualunque

Giusto per cultura, libraesva da problemi?

Oramyar (ex Ming-Hi-One)

Si. Ognuno muore un po' come vuole :)

Cloud387

Ma rileva se uno si fa le pugnette?

Tsaeb

They Robot, è non binario.

Raffaele

Guarda ti posso dire che uso computer da più di 30 anni, il mio primo pc è stato un 286 e a partire dai 486 me li sono assemblati da solo, sono sempre stato un utente consapevole dei rischi, delle trappole, dei virus, dei dialer quando c'erano i modem 14k e poi le isdn, faccio backup di backup su dischi diversi e sul cloud, insomma non sono uno sprovveduto. Eppure qualche anno fa mi sono beccato un ransomware anche io, nonostante antivirus a pagamento e nonostante stia molto moltissimo attento anche ad un singolo click che faccio su un sito. Non è del tutto impossibile quindi...è solo molto improbabile che succeda ad un utente consapevole, ma improbabile non significa 0...

LetTax v4.0

Joe Biden che litiga col teleprompter

Cloud387

Ma biden se dimentica la password da la colpa a qualche governo straniero?

Questo è il classico presidente usa, sta friggendo per fare la sua guerra e mettere in moto l'economia dietro la macchina bellica statunitense.

UnoQualunque

Per ora siamo nella fase più "facile" abbiamo messo un antispam "dietro" a quello free di Office 365. Anche questo, sulla carta doveva applicare delle regole di IA per indentificare i problemi ma vedo che molte email le blocca solo perchè il mittente ha una bassa reputazione mentre tutto il resto dell'email è perfetta. Se applicasse realmente il machine learning penso che questi falsi positivi non ci sarebbero. Voglio vedere quando metteremo la parte di XDR che va a "triangolare" il comportamento tra client e rete cosa accadrà. Però appunto, lo gestiremo internamente con appoggio del vendor solo in caso di grossi problemi. Non so perchè ho la sensazione che in quel periodo avrò molto più lavoro :D

Alessio Ferri

In futuro sarà semmai da estremamente più facile, il problema è tutto nella supply chain ora, che è corrotta con pratiche impossibili da cambiare.

Alessio Ferri

Hai mai usato npm o gradle?

Alessio Ferri

Non sai che pratiche ci sono nello sviluppo software. La supply chain del software è ormai tutta sbagliata dall'inizio alla fine.

Alessio Ferri

Pensi che sia ancora l'utente medio il problema?

Sai quanti programmatori/tester/devops in ambito enterprise aggiungono dipendenze a ca**o senza capire esattamente cosa fanno, perchè tanto "è gratis e poi mi serve quella funzione lì".

Tutto il software che vedi od usi è costruito così, dipendenze di dipendenze che eseguono codice in fase di installazione nel server di build, perchè qualcuno ha pensato che fosse una cosa furba (npm, gradle, composer, pip, etc). Basta che una dipendenza di una dipendenza sbagli a scrivere il nome e qualcuno abbia registrato un malware con un nome simile per sfruttare gli errori di battitura per far si che l'intero ecosistema software sia completamente compromesso.

Simone

Interessante punto si costa grazie

Blue, trainer

Prima regola del Fight Club.

Aniene

Ha stato la Russia. Torna affan... joe.

Squak9000

se aspettano i PrimeDays li mettono a 68,90M

Squak9000

ma quelli le mettono le bombe...
mica si fanno esplodere

salvatore esposito

in azienda il dispositivo personale non deve avere accesso alle risorse aziendali.

Oramyar (ex Ming-Hi-One)

Ma mica esistono solo i terroristi islamici!
Ci sono pure quelli dell'IRA :)

V4N0
Anubi da Codroipo

vero. ma le serrature "online" sono hackabili anche da un cinese lontano 10 mila km, e che lo fa solo per rompere i cogl*oni.
il problema e' che il ladro lo fa apposta per rubare, il loacher butta su un server uno scanner che cerca a tappeto tutte le serrature fallate, cosi' come i bot.

JustATiredMan

No, non è questo il caso. Quì si stà parlando di una società che fa software per monitoring remoto.
In sostanza tu cliente compri da un azienda fornitrice locale, un servizio di monitoring Kaseya. Installi su tutti i tuoi server un client Kaseya, che si collega al servizio di questa azienda terza (che a sua volta sarà collegata alla principlae di Kaseya) e ti tiene monitoritati vari servizi, se il server funziona, se funziona bene etc.etc.
Il caso specifico, hanno trovato un backdoor ed hanno fatto in modo che venisse propagato un ramsonware, passando per i server kaseya delle aziende locali, fino su tutti i vari client monitorizzati... va da se che capisci il potenziale disastro, di trovarti un ramsonware non perchè l'hai scaricato tu con un link, ma perchè un software di controllo te l'ha scaricato e installato.

Baz

basta essere un minimo attenti e stai tranquillo anche con software antivirus free o addirittura con windows defender.
e se usi altri sistemi operativi, puoi anche farne tranquillamente a meno.
se uno e' una scimmia ed esegue qualsiasi cosa gli capita, nemmeno il software piu' avanzato al mondo lo proteggera'.
al contrario invece se uno e' attento ai link che clicca e a quello che installa/esegue, sara' eccessivo anche windows defender

Baz

ogni volta con notizie del genere mi stupisco di quanta gente rimane fregata da software del genere.
possibile che l'utente medio non sia un minimo istruito a non installare/eseguire qualsiasi p0rcata di capiti sotto mano?

Ansem The Seeker Of Lossless

La maggior parte delle serrature sono facilmente "hackerabili" in locale in pochi minuti.

UnoQualunque

In teoria questi sistemi (non si tratta di software ma suite di vari oggetti) si dovrebbero accorgere appunto che un qualcosa sta succedendo anche a livello di rete ed escludono quella determinata porta dello switch dove c'è collegato il computer problematico per metterlo KO. Sulla carta è una gran fig... ma ho comunque qualche dubbio che siano davvero cosi intelligenti.

PositiveVibes

Vado a chiamare Bruce Willis, vediamo che si può fare...

Nyles

Vero ma hai sempre la vulnerabilità di migliaia di dipendenti che entrano in azienda col dispositivo personale e magari te lo collegano alla rete.

LaVeraVerità

https://uploads.disquscdn.c...

UnoQualunque

Scrivo a te per rispondere anche a V4N0 ovviamente quello che stiamo mettendo in piedi è molto molto più potente del vecchio antivirus e del firewall perimetrale che becca poco o niente. Io avrei scelto qualcosa di più omogeneo per l'XDR. Sicuramente ora mai avere un'antivirus basato su firme è come non avere niente. Il problema è che essendo una PMI (ora non più tanto PMI) queste soluzioni richiedono tempo per essere gestite. Sulla carta promettono "installa e non ti accorgerai che esiste" ma bisogna stare molto attenti perchè è facile che parta un falso positivo e inizia a bloccare a casaccio. Di certo non possiamo permetterci un SOC che infatti si occuperebbe di fare tuning ogni giorni. Per quello dico che questi sistemi di machine learning non sono ancora pronti. Sulla carta sembra che riescano a prendere decisioni autonome, ma, purtroppo, non siamo ancora arrivati a quel punto.

Anubi da Codroipo

il problema e' sempre che la complessita' e l'aspettativa di vita di un sw sono molto diverse da una serratura.
i sw sono le cose piu' complesse progettate dall'uomo, e "li' fuori" e' pieno di gente che non fa altro che cercare di rompere questi sistemi per fare soldi.
tu puoi testare per anni e anni un sw e comunque uno che ti trova un baco lo trovi sempre.

Bibbidibobbidibu

Altrimenti sono c@azzi (speriamo non tutti come il tuo)..

https://uploads.disquscdn.c...

Grazie per averlo fatto notare, diventerebbe un candidato alla non lettura. ;)

Ansem The Seeker Of Lossless

Le la priorità è connettere cose c'è un problema.
La priorità dovrebbe essere la sicurezza.
Quando monti una porta a casa non metti una serratura da 5€, ne metti una che costa tanto e che sia buona.
Deve essere lo stesso per il software.

V4N0
ErCipolla

Ti rispondo di si. ;)

ErCipolla

Quello di sicuro, ma è anche sicuro che se Putin viene bersagliato non te lo viene a raccontare, non fosse altro per mantenere la facciata di infallibilità del suo governo, come insegna la tradizione fin dai tempi della guerra fredda.

Anubi da Codroipo

il problema e' che piu' software hai, piu' buchi trovi, e quindi piu' accessi agli hacker.
abbiamo troppa roba connessa, dallo smartwatch al tostapane.

Io sono del parere che gli attacchi vadano da chi ha meno 'know-how' a chi ha più 'know-how'.
Ecco perchè non si sa mai del contrario.
;)

Ansem The Seeker Of Lossless

Non è un problema di eccessiva digitalizzazione, è un problema che per anni la sicurezza informata è stata vista solo come un costo inutile.

Tsaeb

gli antivirus non servono a niente contro questi attacchi.

Tsaeb

non trattiamo con i terroristi (cit.)

Rocco Siffredi

Paga il riscatto...

Simone

Il vantaggio di questi sistemi è che agiscono bloccando pratiche fastidiose.
Anche una zeroday, se quando il software parte crittografando tutto, non è efficace se il processo di crittografazione viene sospeso.

Poi è chiaro che se ti prendono di mira lì è molto più difficile proteggerti, però rispetto ad operazioni generiche possono essere efficaci.
Chiaramente anche qui, dipende molto dal software che utilizzi

Mostra 1 nuova risposta

Io per ora sto usando quello integrato.
Ogni tanto avvio da chiavetta e faccio scansioni approfondite con i vari tools tipo Kaspersky o Bitdefender ma giusto per sicurezza.

Il rallentamento è abbastanza importante con l'antivirus, per cui se non fai cose rischiose Defender può bastare. In caso di attacco rivolto contro di te, non c'è antivirus che tenga...

Nyles

Certo, ma il software in questione ha evitato almeno 100 volte gli incidenti che sarebbero stati causati da sviste umane.

Nyles

Con la differenza che qualunque pazzo può effettuarlo attualmente, mentre in futuro servirà un hacker piuttosto bravo e i sistemi informatici saranno sempre più protetti, cosa che non puoi fare in ogni singola strada del mondo per proteggere da un pazzo qualunque.

Copertura 5G, a che punto siamo davvero? La nostra esperienza in città

Spotify, Apple Music e gli altri: chi vincerà sul ring dello streaming musicale?

Xiaomi 11T ufficiale con Pro, 11 Lite NE e Pad 5. PREZZI e disponibilità Italia

Internet down: migliaia di siti offline, tra cui Amazon e Twitch | Cos'è successo