Oltre mille aziende colpite da ransomware in un solo attacco. I criminali chiedono 70 milioni di dollari: ecco quello che sappiamo
Tra venerdì 2 luglio pomeriggio e sabato 3 luglio mattina è stato lanciato il più grande attacco ransomware mai tentato finora. Il gruppo di cyber-criminali conosciuto come Revil ha criptato tutti i file di alcuni clienti del fornitore di software Kaseya sfruttando una vulnerabilità fino ad allora sconosciuta. L’attacco è iniziato prendendo di mira un numero limitato di clienti, alcune voci dicono 70 altre 40 altre una decina, che usavano una versione non in cloud di Kaseya Vsa, ma si è rapidamente esteso a un migliaio.
Il danno a livello mondiale è enorme. Sono state colpite aziende in 17 Paesi e in molti casi si è arrivati al blocco totale delle operazioni. La catena di supermercati svedese ha dovuto chiudere circa 500 negozi su 800 a causa dell’attacco e la Casa Bianca ha chiesto a tutte le aziende americane colpite dall’attacco di fare denuncia per permettere una valutazione più accurata dell’impatto.
Cosa è accaduto
La situazione è resa ancora più difficile dal fatto che pur non riguardando la versione in cloud dei servizi di Kaseya, quella più diffusa, l’azienda ha deciso di mettere offline anche la sua piattaforma SaaS, lasciando “al buio” tutta la sua rete di clienti.
Sul sito del supporto tecnico si susseguono i bollettini di aggiornamento, ma la situazione è molto fluida. Il momento del ritorno alla normalità della parte SaaS è stato posticipato più volte, così come il rilascio di una patch per la versione on premise attaccata.
Il software del tipo di Kaseya Vsa rappresenta l’oggetto dei desideri di qualsiasi cybercriminale in quanto viene usato da grandi aziende e dai managed service provider, aziende che forniscono servizi gestiti di informatica, per gestire tutto il parco macchina interno o dei clienti.
Per questo, violando la rete di un Msp si possono colpire tutti i loro clienti, moltiplicando le vittime con il minimo sforzo.I primi report indicavano due modi distinti di agire da parte di Revil, che aveva previsto due “proposte” di riscatto. Agli Msp venivano chiesti cinque milioni ciascuno per avere uno strumento in grado di ripristinare tutti i file in meno di un’ora, mentre alle aziende colpite “a cascata” venivano chiesti “solo” 50mila dollari.
Chi sono i Revil?
Nel corso dei giorni, però, le cose sono cambiate e le richieste sono aumentate. Revil è un gruppo di criminali ben conosciuto nell’ambito della sicurezza informatica e di solito non procede per “offerte preconfezionate”.
Quando riesce a mettere a segno un attacco, il che accade molto spesso, chiede una cifra specifica per il bersaglio, stimata in base al suo giro d’affari. In questo caso, Revil non poteva conoscere a priori quali aziende avrebbe colpito tramite la compromissione del fornitore di servizi gestiti e quindi ha piazzato una richiesta generica che, però, non viene rispettata.
Da quanto si legge su Internet, infatti, sembra che ogni azienda venga ricontattata per alzare il prezzo e i 50mila dollari iniziali vengono accordati per restituire solo un tipo di file (Word, Excel, eseguibili, Hmtl e così via), mentre si richiede mezzo milione per restituirli tutti. La richiesta è comunque contrattabile.Sul sito internet di Revil, raggiungibile solo tramite strumenti in grado di navigare nel dark web, i criminali hanno anche pubblicato una proposta “globale” in cui per 70 milioni di dollari si dicono disposti a rilasciare uno strumento che decodifichi tutti i dati presi in ostaggio in tutte le aziende colpite.Revil è stata recentemente al centro dell’attenzione dei media per aver portato un attacco ransomware al più grande fornitore di carne americano, Jbs meat, che è stato costretto a pagare 11 milioni di dollari per poter tornare alla piena operatività.
Quello che non sappiamo
Da notare che l’attacco è stato scatenato il 2 di luglio per cercare di sfruttare le festività americana del 4 di luglio, ma è arrivato un po’ “presto” rispetto al momento tipicamente più adatto a sfruttare questo momento favorevole ai criminali. Il motivo è forse da ricercare nel fatto che Kaseya era stata avvisata nei giorni passati da un’azienda di sicurezza informatica sull’esistenza di alcuni bug che potevano essere usati in maniera devastante e stava già lavorando su di una soluzione.
Forse questa notizia è arrivata alle orecchie dei criminali che hanno pensato di affrettare l’attacco per evitare di trovare le vulnerabilità che intendevano sfruttare già risolte e veder sfumare un’occasione forse irripetibile.
Affidati sempre a veri professionisti per proteggerti dai Cyber Risk!
Per informazioni contattare corporate@ebrokers.it
Fonte: Il Sole 24 Ore