Lo stesso presidente americano Joe Biden è stato allertato dell’attacco mentre era su un volo che non è stato fatto atterrare fino alla verifica dell’assenza di pericoli legati all’attacco. E l’Autorità per la cybersicurezza americana Cisa ha avvertito tutti del pericolo, visto che il software di Kaseya potrebbe essere stato compromesso dal gruppo cybercriminale di lingua russa REvil/Sodinokibi già noto per attacchi mirati a importanti aziende come il gigante della carne JBS, Qanta computer e anche contro l’operatore telefonico spagnolo MasMovil group. Attacchi con i quali avrebbe guadagnato molti milioni di dollari di riscatto.
Nella notte del 4 luglio, la gang criminale responsabile dell’attacco a Kaseya, attraverso il suo blog nel Darkweb, ha chiesto 70 milioni di dollari per pubblicare un decryptor universale in grado di sbloccare tutti i computer cifrati con il ransomware affermando di aver bloccato più di un milione di sistemi durante l’incidente scoperto due giorni prima.
Obiettivi colpiti anche in Italia
Adesso quello che adesso spaventa è che i ricercatori italiani hanno scoperto come l’Italia sia vulnerabile a questo tipo di attacco. Nell’elenco di aziende che usano il software compromesso e che Repubblica ha potuto consultare – evitiamo di citarle per motivi di sicurezza – , ci sono importanti realtà commerciali che vendono sistemi gestionali in tutta la penisola e forniscono servizi informatici al mondo del commercio, della telefonia e dell’energia. Per fare un esempio, un’azienda nazionale che prepara le buste paga delle università italiane. Tra di loro ci sono anche organizzazioni che forniscono la connettività e servizi al mondo della ricerca e dell’istruzione italiana, al pari di grandi aziende che forniscono posta certificata e identità digitali, intermediazione finanziaria e supporto alla trasformazione digitale. Una di queste, da noi contattata, lo Human Technopole di Milano che si occupa di Scienze della vita, si è accorta subito del problema e ha bloccato i suoi servizi tempestivamente. cybercrimine
Con 3 attacchi scoperti in un mese, è il momento di prendere seriamente i ransomware
di Raffaele Angius 28 Maggio 2021
Per Emanuele De Lucia, ricercatore in cybersecurity, tra i i primi ad analizzare l’esposizione delle aziende italiane: “È un fatto grave perché l’attacco alla supply chain prende di mira fornitori di servizio come i Managed service provider o MSP. Si tratta di bersagli di tipo strategico perché in seguito ad una loro violazione c’é la concreta possibilità per gli attaccanti di compromettere anche migliaia di clienti del fornitore. Kaseya VSA è un servizio molto diffuso e principalmente utilizzato in USA e UK. Ma questo evento ha le potenzialità di avere ripercussioni a livello globale. Ci sono vittime certificate anche in Europa e Australia. L’Italia ha diverse aziende e fornitori di servizio in ambito tecnologico che utilizzano tale suite di software e che dovrebbero immediatamente affrontare questo problema al fine di evitare gravi conseguenze”. E infatti, secondo la società di cybersecurity Huntress Labs che l’ha scoperto, questo “potrebbe essere uno dei più grandi attacchi criminali della storia condotti con ransomware” visto che avendo colpito dei servizi IT potrebbe impattare centinaia, forse migliaia, di piccole e medie aziende.
Che cos’è il Ransomware e come funziona
Il ransomware, va ricordato, è un tipo di malware, cioè un software malevolo, che riesce a prendere il controllo di server e computer, cifrandoli, e impedendone l’uso ai legittimi proprietari fino a che questi ultimi non pagano un riscatto, il “ransom” in lingua inglese. E, spesso, che venga pagato oppure no, comporta non solo il blocco dei sistemi interessati, ma anche l’esposizione pubblica dei dati delle aziende interessate con un corrispondente danno reputazionale e d’immagine secondo una tecnica definita di double extortion (doppia estorsione). Qualcuno ha paragonato questo ransomware a Wannacry – che nel 2016 bloccò la sanità inglese – non solo per i suoi effetti devastanti, ma anche perché si comporta in maniera simile, come un worm (un tipo di virus) che si diffonde in modo automatico raggiungendo i rivenditori dei servizi e, tramite essi, gli utenti finali, senza alcun intervento da parte degli attaccanti o delle vittime.
Perché per gli USA gli attacchi ransomware sono terrorismo
di Pierluigi Paganini 07 Giugno 2021
Il ransomware colpisce Microsoft Windows e la cosa peggiore è che secondo le prime analisi è in grado di eludere Windows Defender, estendendo l’attacco all’intera rete colpita. Tuttavia gli esperti mettono in guardia anche dall’infezione verso i servizi IoT (l’Internet of Things), per capirci quella che connette sensori ed attuatori nelle case domotiche, edifici intelligenti, stampanti e frigoriferi che sono in tutti gli uffici, ma anche la rete di sensori che gestisce i flussi di erogazione di acqua ed energia.
Il software Kaseya viene eseguito con elevati privilegi di l’esecuzione e richiede l’esclusione dell’antivirus per alcune componenti del sistema sui cui è eseguito, “Le condizioni ideali per un attaccante – secondo Pierluigi Paganini, esperto di cybersecurity a capo di CybHorus – tuttavia, la rapida diffusione degli indicatori di compromissione relativi a questo attacco sta rendendo possibile mitigarne gli effetti come mai accaduto prima. Pensiamo al caso dell’Olanda, paese in cui in poche ore il numero di installazioni del software Kaseya VSA potenzialmente vulnerabili è stato azzerato grazie all’intervento delle strutture nazionali preposte alla risposta agli incidenti”.
