Il ransomware mette in ginocchio Kaseya e i suoi clienti
Un attacco informatico rovinoso e inaspettato ha colpito oltre trentaseimila aziende americane nella prima settimana di Luglio. Nel mirino dell’attacco Kaseya e tutti i suoi clienti.
Kaseya è una software house specializzata in cybersecurity che fornisce servizi di monitoraggio costante dei sistemi informativi aziendali per garantirne la sicurezza e l’integrità. Si tratta di una delle aziende più conosciute al mondo che opera a livello internazionale, eppure l’attacco informatico di Luglio ha messo a dura prova i suoi sistemi.
Tutti gli indizi raccolti relativi alla violazione porterebbero ad individuare come responsabile di tale attacco il gruppo REvil, un gruppo formato da hacker russi specializzati nello sviluppo di ransomware. Il loro modus operandi consiste nel richiedere riscatti per decriptare le informazioni sottratte e criptate durante gli attacchi.
La conferma dei responsabili pare evidente dal momento che nel dark web, lo stesso gruppo REvil, ha richiesto un riscatto di settanta milioni di dollari in cambio del rilascio di un“decrittatore universale” in grado di sbloccare i computer infetti.
A tal proposito la Cybersecurity and Infrastructure Security Agency (CISA) ha annunciato di essersi già messa in moto per trovare una soluzione per mitigare le conseguenze dell’attacco, consigliando a tutti coloro che sono stati coinvolti di tenersi sempre aggiornati sul sito di Kaseya e di spegnere i server VSA.
Il ransomware di REvil è stato diffuso sfruttando un aggiornamento del software di Kaseya. Tutti coloro che hanno scaricato tale aggiornamento hanno dato libero accesso al proprio computer al virus. La stessa tecnica, come ricorderete, era stata utilizzata anche per l’attacco di Solarwinds.
Anche il CSIRT, Computer Security Incident Response Team italiano, ha rilasciato alcune indicazioni per mitigare l’attacco, consigliando l’implementazione di una serie di misure di sicurezza:
- implementare l’autenticazione multifattore sugli account gestiti;
- proteggere l’accesso alle infrastrutture Remote Management and Monitoring implementando le connessioni VPN o specificando gli indirizzi IP autorizzati;
- accertarsi di avere backup aggiornati e funzionanti conservandoli fisicamente e/o logicamente disconnessi dalla rete IT aziendale;
- gestire manualmente il ciclo di patching delle proprie infrastrutture fino a nuovo ordine;
La stessa Kaseya, inoltre, consiglia di controllare l’eventuale compromissione dei propri server tramite il tool VSA che permette di monitorare e gestire svariate attività IT in maniera centralizzata consentendo l’automatizzazione dei servizi.
Considerato ad oggi uno degli attacchi più devastanti degli ultimi anni, il caso Kaseya resta ancora irrisolto. Quello che va sottolineato è quanto stiano diventando pericolosi e diffusi gli attacchi ransomware, in grado di mettere in ginocchio e portare il caos in intere infrastrutture economiche e sociali.
L’unico modo per prevenire è prestare un’attenzione sempre più alta attorno alle misure di sicurezza dei software, a maggior ragione quando si parla di software imponenti e ricchi di informazioni come quello di Kaseya che viene utilizzato ogni giorno dalle grandi compagnie situate in praticamente ogni parte del mondo.