BOSTON (AP) — Il singolo più grande attacco ransomware ha continuato a colpire lunedì quando sono emersi ulteriori dettagli su come una banda collegata alla Russia ha violato la società di software sfruttata. I criminali hanno essenzialmente utilizzato uno strumento che aiuta a proteggersi dal malware per diffonderlo a livello globale.
Migliaia di organizzazioni, in gran parte aziende che gestiscono in remoto l’infrastruttura IT di altri, sono state infettate in almeno 17 paesi nell’assalto di venerdì. Kaseya, il cui prodotto è stato sfruttato, ha detto lunedì che ne includono diversi appena tornati al lavoro.
Poiché l’attacco della famigerata banda REvil è avvenuto proprio mentre iniziava un lungo weekend del 4 luglio, molte altre vittime avrebbero dovuto conoscere il loro destino quando sarebbero tornate in ufficio martedì.
REvil è meglio conosciuto per aver estorto $ 11 milioni dal produttore di carne JBS il mese scorso. I ricercatori della sicurezza hanno affermato che la sua capacità di eludere le protezioni anti-malware in questo attacco e il suo apparente sfruttamento di una precedente vulnerabilità sconosciuta sui server Kaseya riflettono la crescente forza finanziaria di REvil e di alcune dozzine di altre bande di ransomware il cui successo li aiuta a permettersi il miglior furto digitale merci. Tali criminali si infiltrano nelle reti e le paralizzano rimescolando i dati, estorcendo le loro vittime.
REvil stava cercando pagamenti di $ 5 milioni dai cosiddetti fornitori di servizi gestiti che erano i suoi principali obiettivi a valle in questo attacco, apparentemente chiedendo molto meno – solo $ 45.000 – dai loro clienti colpiti.
Ma domenica scorsa, ha offerto sul suo sito web oscuro di rendere disponibile un decryptor universale che avrebbe decodificato tutte le macchine interessate se avesse pagato $ 70 milioni in criptovaluta. Alcuni ricercatori hanno considerato l’offerta una trovata pubblicitaria, mentre altri hanno pensato che indicasse che i criminali hanno più vittime di quante ne possano gestire.
La Svezia potrebbe essere la più colpita, o almeno la più trasparente sui danni. Il suo ministro della Difesa, Peter Hultqvist, si è lamentato in un’intervista televisiva “quanto sia fragile il sistema quando si tratta di sicurezza informatica”. La maggior parte degli 800 negozi della catena di alimentari svedese Coop sono stati chiusi per il terzo giorno, i registratori di cassa danneggiati, una catena di farmacie svedesi, una catena di distributori di benzina, la ferrovia statale e l’emittente pubblica SVT.
Una vasta gamma di aziende e agenzie pubbliche è stata colpita, compresi i servizi finanziari e i viaggi, ma poche grandi aziende sono state colpite, ha affermato la società di sicurezza informatica Sophos. Il Regno Unito, il Sudafrica, il Canada, l’Argentina, il Messico, l’Indonesia, la Nuova Zelanda e il Kenya sono stati tra i paesi colpiti, hanno affermato i ricercatori.
In una dichiarazione domenica, il vice consigliere per la sicurezza nazionale degli Stati Uniti Anne Neuberger ha esortato tutte le vittime ad allertare l’FBI. Il giorno prima, l’FBI ha detto in un avviso che la portata dell’attacco “potrebbe fare in modo che non siamo in grado di rispondere a ciascuna vittima individualmente”.
La stragrande maggioranza delle vittime di ransomware è restia ad ammetterlo pubblicamente e molti evitano di segnalare attacchi alle forze dell’ordine o di rivelare se pagano riscatti a meno che non sia richiesto dalla legge.
Il presidente Joe Biden ha detto sabato di aver ordinato un “tuffo profondo” dell’intelligence statunitense nell’attacco e che gli Stati Uniti avrebbero risposto se determinassero che il Cremlino è coinvolto. A Ginevra il mese scorso, Biden ha cercato di fare pressione sul presidente russo Vladimir Putin per porre fine a un rifugio sicuro per REvil e altre bande di ransomware che operano impunemente in Russia e negli stati alleati purché evitino obiettivi interni. Gli attacchi estorsivi dei sindacati sono peggiorati nell’ultimo anno.
Lunedì, al portavoce di Putin Dmitry Peskov è stato chiesto se la Russia fosse a conoscenza dell’attacco o se avesse indagato. Ha detto di no, ma ha suggerito che potrebbe essere discusso durante le consultazioni tra Stati Uniti e Russia su questioni di sicurezza informatica. Nessuna data è stata fissata per tali consultazioni e pochi analisti si aspettano che il Cremlino reprimerà un’ondata di criminalità che avvantaggia gli obiettivi strategici di Putin di destabilizzare l’Occidente.
Kaseya ha dichiarato lunedì che meno di 70 dei suoi 37.000 clienti sono stati colpiti, sebbene la maggior parte fossero fornitori di servizi gestiti con più clienti a valle. La maggior parte dei fornitori di servizi gestiti era in grado di sapere entro lunedì se fossero stati colpiti, ma ciò potrebbe non essere vero per molte delle organizzazioni di piccole e medie dimensioni che servono, ha affermato Ross McKerchar, chief information security officer di Sophos. Gli MSP stanno volando alla cieca perché lo stesso strumento software che usano per monitorare le reti dei clienti è stato messo fuori combattimento dall’attacco.
Lo strumento Kaseya violato, VSA, mantiene in remoto le reti dei clienti, automatizzando la sicurezza e altri aggiornamenti software.
In un rapporto di lunedì sull’attacco, Sophos ha affermato che un server VSA è stato violato con l’apparente utilizzo di un “giorno zero”, il termine del settore per una falla di sicurezza del software precedentemente sconosciuta. Come altre società di sicurezza informatica, ha incolpato Kaseya per aver aiutato gli aggressori chiedendo ai clienti di non monitorare le sue cartelle “funzionanti” in loco alla ricerca di malware. All’interno di quelle cartelle, il codice di REvil potrebbe funzionare inosservato per disabilitare gli strumenti di segnalazione di malware e ransomware del programma Defender di Microsoft.
Sophos ha affermato che REvil non ha tentato di rubare dati in questo attacco. I gruppi di ransomware di solito lo fanno prima di attivare il ransomware in modo che possano minacciare di scaricarlo online a meno che non vengano pagati. Questo attacco era apparentemente ossa nude, solo dati mischiati.
In un’intervista di domenica, il CEO di Kaseya Fred Voccola non ha confermato l’uso di un giorno zero o offerto i dettagli della violazione, tranne per dire che non si trattava di phishing e che era sicuro che quando un’indagine da parte dell’azienda di sicurezza informatica sarà completata, mostrerebbe che non solo Kaseya ma anche software di terze parti sono stati violati dagli aggressori.
Tutti i contenuti © copyright 2021 Associated Press. Tutti i diritti riservati
More Stories
Più americani decidono di andare a scuola a casa per i loro figli, dato che molte mamme scelgono di restare a casa
Il padre di Britney Spears accetta di porre fine alla tutela
Salvato da una barca e ora affrontando le conseguenze caotiche, l’uragano Ida sopravvissuto dice ancora “Dio ci ha benedetto”